Fase 4: creare una policy IAM per i server notebook - AWS Glue

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 4: creare una policy IAM per i server notebook

Se prevedi di utilizzare i notebook con gli endpoint di sviluppo, devi specificare le autorizzazioni quando crei il server notebook. È possibile fornire queste autorizzazioni usando AWS Identity and Access Management (IAM).

Questa politica concede l'autorizzazione per alcune azioni di Amazon S3 per gestire le risorse nel tuo account necessarie per AWS Glue quando assume il ruolo utilizzando questa politica. Alcune delle risorse specificate in questa politica si riferiscono ai nomi predefiniti utilizzati da AWS Glue per i bucket Amazon S3, gli script ETL di Amazon S3 e le risorse Amazon. EC2 Per semplicità, AWS Glue per impostazione predefinita, scrive alcuni oggetti Amazon S3 in bucket nel tuo account con il prefisso. aws-glue-*

Nota

Puoi saltare questo passaggio se utilizzi la policy gestita. AWS AWSGlueServiceNotebookRole

In questa fase, crei una policy simile a AWSGlueServiceNotebookRole. Puoi trovare la versione più recente di AWSGlueServiceNotebookRole nella console IAM.

Per creare una policy IAM per i notebook

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione sinistro, scegli Policy.

  3. Scegliere Create Policy (Crea policy).

  4. Nella schermata Create Policy (Crea policy), passa alla scheda per modificare JSON. Crea un documento di policy con le seguenti istruzioni JSON, quindi scegli Review policy (Verifica policy).

    {  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "glue:CreateDatabase",
            "glue:CreatePartition",
            "glue:CreateTable",
            "glue:DeleteDatabase",
            "glue:DeletePartition",
            "glue:DeleteTable",
            "glue:GetDatabase",
            "glue:GetDatabases",
            "glue:GetPartition",
            "glue:GetPartitions",
            "glue:GetTable",
            "glue:GetTableVersions",
            "glue:GetTables",
            "glue:UpdateDatabase",
            "glue:UpdatePartition",
            "glue:UpdateTable",
            "glue:GetJobBookmark",
            "glue:ResetJobBookmark",
            "glue:CreateConnection",
            "glue:CreateJob",
            "glue:DeleteConnection",
            "glue:DeleteJob",
            "glue:GetConnection",
            "glue:GetConnections",
            "glue:GetDevEndpoint",
            "glue:GetDevEndpoints",
            "glue:GetJob",
            "glue:GetJobs",
            "glue:UpdateJob",
            "glue:BatchDeleteConnection",
            "glue:UpdateConnection",
            "glue:GetUserDefinedFunction",
            "glue:UpdateUserDefinedFunction",
            "glue:GetUserDefinedFunctions",
            "glue:DeleteUserDefinedFunction",
            "glue:CreateUserDefinedFunction",
            "glue:BatchGetPartition",
            "glue:BatchDeletePartition",
            "glue:BatchCreatePartition",
            "glue:BatchDeleteTable",
            "glue:UpdateDevEndpoint",
            "s3:GetBucketLocation",
            "s3:ListBucket",
            "s3:ListAllMyBuckets",
            "s3:GetBucketAcl"
         ],
         "Resource":[  
            "*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "s3:GetObject"
         ],
         "Resource":[  
            "arn:aws:s3:::crawler-public*",
            "arn:aws:s3:::aws-glue*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "s3:PutObject",
            "s3:DeleteObject"			
         ],
         "Resource":[  
            "arn:aws:s3:::aws-glue*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "ec2:CreateTags",
            "ec2:DeleteTags"
         ],
         "Condition":{  
            "ForAllValues:StringEquals":{  
               "aws:TagKeys":[  
                  "aws-glue-service-resource"
               ]
            }
         },
         "Resource":[  
            "arn:aws:ec2:*:*:network-interface/*",
            "arn:aws:ec2:*:*:security-group/*",
            "arn:aws:ec2:*:*:instance/*"
         ]
      }
   ]
}

    La tabella seguente descrive le autorizzazioni concesse dalla policy.

    Azione Risorsa Descrizione

    "glue:*"

    "*"

    Concede il permesso di eseguire tutto AWS Glue Operazioni API.

    "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketAcl"

    "*"

    Permette di elencare i bucket Amazon S3 dai server notebook.

    "s3:GetObject"

    "arn:aws:s3:::crawler-public*", "arn:aws:s3:::aws-glue-*"

    Permette di ottenere gli oggetti Amazon S3 usati da esempi e tutorial dai notebook.

    Convenzione per la denominazione: i nomi di bucket Amazon S3 iniziano con crawler-public e aws-glue-.

    "s3:PutObject", "s3:DeleteObject"

    "arn:aws:s3:::aws-glue*"

    Permette di inserire ed eliminare oggetti Amazon S3 nell'account dai notebook.

    Convenzione per la denominazione: utilizza cartelle Amazon S3 denominate aws-glue.

    "ec2:CreateTags", "ec2:DeleteTags"

    "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:instance/*"

    Consente l'etichettatura delle EC2 risorse Amazon create per i server notebook.

    Convenzione di denominazione: AWS Glue contrassegna EC2 le istanze Amazon con aws-glue-service-resource.

  5. Nella schermata Verifica policy, inserisci il Nome policy, ad esempio GlueServiceNotebookPolicyDefault. Digita una descrizione facoltativa e, al termine, seleziona Create policy (Crea policy).