Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Devi concedere al tuo ruolo IAM le autorizzazioni per AWS Glue puoi presumere quando chiami altri servizi per tuo conto. Ciò include l'accesso ad Amazon S3 per qualsiasi fonte, destinazione, script e directory temporanea con cui utilizzi AWS Glue. L'autorizzazione è necessaria per i crawler, i job e gli endpoint di sviluppo.
Fornisci tali autorizzazioni utilizzando AWS Identity and Access Management (IAM). Aggiungi una policy al ruolo IAM a cui passi AWS Glue.
Per creare un ruolo IAM per AWS Glue
Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione a sinistra seleziona Ruoli.
-
Scegliere Crea ruolo.
-
Scegli il AWS servizio come tipo di entità affidabile. Quindi, per servizio o caso d'uso, trova e scegli AWS Glue. Scegli Avanti.
-
Nella pagina Aggiungi autorizzazioni, scegli le politiche che contengono le autorizzazioni richieste, ad esempio la politica AWS
AWSGlueServiceRolegestita per informazioni generali AWS Glue autorizzazioni e la policy AWS gestita AmazonS3 FullAccess per l'accesso alle risorse Amazon S3. Quindi scegli Successivo.Nota
Verifica che una delle policy in questo ruolo conceda le autorizzazioni per le origini e le destinazioni Amazon S3. Puoi fornire una policy personalizzata per l'accesso a risorse Amazon S3 specifiche. Le origini dati richiedono le autorizzazioni
s3:ListBucketes3:GetObject. Le destinazioni dati richiedono le autorizzazionis3:ListBucket,s3:PutObjectes3:DeleteObject. Per ulteriori informazioni sulla creazione di una policy Amazon S3 per le risorse, vedi Specificare le risorse in una policy. Per un esempio di policy Amazon S3, consulta la pagina relativa alla scrittura di policy IAM per concedere l'accesso a un bucket Amazon S3. Se prevedi di accedere a sorgenti e destinazioni Amazon S3 crittografate con SSE-KMS, allega una policy che consenta AWS Glue crawler, job ed endpoint di sviluppo per decrittografare i dati. Per ulteriori informazioni, vedere Protezione dei dati mediante la crittografia lato server con chiavi gestite (SSE-KMS). AWS KMS
Di seguito è riportato un esempio.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] } -
Assegna un nome al tuo ruolo e aggiungi una descrizione (opzionale), quindi rivedi la politica di fiducia e le autorizzazioni. Per Role name (Nome ruolo), digita un nome per il ruolo, ad esempio
AWSGlueServiceRoleDefault. Crea il ruolo con il nome preceduto dalla stringaAWSGlueServiceRoleper consentire il trasferimento del ruolo dagli utenti della console al servizio. AWS Glue le politiche fornite prevedono che i ruoli del servizio IAM partano daAWSGlueServiceRole. In caso contrario, è necessario aggiungere una policy per concedere agli utenti l'autorizzazioneiam:PassRoleper i ruoli IAM in modo da soddisfare la convenzione per la denominazione. Selezionare Create Role (Crea ruolo).Nota
Quando crei un notebook con un ruolo, tale ruolo viene passato alle sessioni interattive in modo che lo stesso ruolo possa essere utilizzato in entrambe le posizioni. Come tale, il permesso
iam:PassRoledeve essere parte della policy del ruolo.Crea una nuova policy per il tuo ruolo utilizzando l'esempio seguente. Sostituisci il numero di account con il tuo e il nome del ruolo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::090000000210:role/<role_name>" } ] } -
Aggiungi tag al tuo ruolo (opzionale). I tag sono coppie chiave-valore che puoi aggiungere alle AWS risorse per identificare, organizzare o cercare risorse. Quindi seleziona Create role (Crea ruolo).
