Fase 4: creare una policy IAM per i server notebook - AWS Glue

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 4: creare una policy IAM per i server notebook

Se prevedi di utilizzare i notebook con gli endpoint di sviluppo, devi specificare le autorizzazioni quando crei il server notebook. È possibile fornire queste autorizzazioni usando AWS Identity and Access Management (IAM).

Questa policy concede l'autorizzazione per alcune operazioni Amazon S3 per gestire le risorse nell'account richieste da AWS Glue quando assume il ruolo usando la policy. Alcune delle risorse specificate in questa politica si riferiscono ai nomi predefiniti utilizzati dai AWS Glue bucket Amazon S3, dagli script ETL di Amazon S3 e dalle risorse Amazon. EC2 Per semplicità, AWS Glue scrive alcuni oggetti Amazon S3 nei bucket nell'account con il prefisso aws-glue-* per impostazione predefinita.

Nota

Puoi saltare questo passaggio se utilizzi la policy gestita. AWS AWSGlueServiceNotebookRole

In questa fase, crei una policy simile a AWSGlueServiceNotebookRole. Puoi trovare la versione più recente di AWSGlueServiceNotebookRole nella console IAM.

Per creare una policy IAM per i notebook

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione sinistro, scegli Policy.

  3. Scegliere Create Policy (Crea policy).

  4. Nella schermata Create Policy (Crea policy), passa alla scheda per modificare JSON. Crea un documento di policy con le seguenti istruzioni JSON, quindi scegli Review policy (Verifica policy).

    JSON
    {  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "glue:CreateDatabase",
            "glue:CreatePartition",
            "glue:CreateTable",
            "glue:DeleteDatabase",
            "glue:DeletePartition",
            "glue:DeleteTable",
            "glue:GetDatabase",
            "glue:GetDatabases",
            "glue:GetPartition",
            "glue:GetPartitions",
            "glue:GetTable",
            "glue:GetTableVersions",
            "glue:GetTables",
            "glue:UpdateDatabase",
            "glue:UpdatePartition",
            "glue:UpdateTable",
            "glue:GetJobBookmark",
            "glue:ResetJobBookmark",
            "glue:CreateConnection",
            "glue:CreateJob",
            "glue:DeleteConnection",
            "glue:DeleteJob",
            "glue:GetConnection",
            "glue:GetConnections",
            "glue:GetDevEndpoint",
            "glue:GetDevEndpoints",
            "glue:GetJob",
            "glue:GetJobs",
            "glue:UpdateJob",
            "glue:BatchDeleteConnection",
            "glue:UpdateConnection",
            "glue:GetUserDefinedFunction",
            "glue:UpdateUserDefinedFunction",
            "glue:GetUserDefinedFunctions",
            "glue:DeleteUserDefinedFunction",
            "glue:CreateUserDefinedFunction",
            "glue:BatchGetPartition",
            "glue:BatchDeletePartition",
            "glue:BatchCreatePartition",
            "glue:BatchDeleteTable",
            "glue:UpdateDevEndpoint",
            "s3:GetBucketLocation",
            "s3:ListBucket",
            "s3:ListAllMyBuckets",
            "s3:GetBucketAcl"
         ],
         "Resource":[  
            "*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "s3:GetObject"
         ],
         "Resource":[  
            "arn:aws:s3:::crawler-public*",
            "arn:aws:s3:::aws-glue*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "s3:PutObject",
            "s3:DeleteObject"			
         ],
         "Resource":[  
            "arn:aws:s3:::aws-glue*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "ec2:CreateTags",
            "ec2:DeleteTags"
         ],
         "Condition":{  
            "ForAllValues:StringEquals":{  
               "aws:TagKeys":[  
                  "aws-glue-service-resource"
               ]
            }
         },
         "Resource":[  
            "arn:aws:ec2:*:*:network-interface/*",
            "arn:aws:ec2:*:*:security-group/*",
            "arn:aws:ec2:*:*:instance/*"
         ]
      }
   ]
}

    La tabella seguente descrive le autorizzazioni concesse dalla policy.

    Azione Risorsa Descrizione

    "glue:*"

    "*"

    Concede l'autorizzazione per eseguire tutte le operazioni API AWS Glue.

    "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketAcl"

    "*"

    Permette di elencare i bucket Amazon S3 dai server notebook.

    "s3:GetObject"

    "arn:aws:s3:::crawler-public*", "arn:aws:s3:::aws-glue-*"

    Permette di ottenere gli oggetti Amazon S3 usati da esempi e tutorial dai notebook.

    Convenzione per la denominazione: i nomi di bucket Amazon S3 iniziano con crawler-public e aws-glue-.

    "s3:PutObject", "s3:DeleteObject"

    "arn:aws:s3:::aws-glue*"

    Permette di inserire ed eliminare oggetti Amazon S3 nell'account dai notebook.

    Convenzione per la denominazione: utilizza cartelle Amazon S3 denominate aws-glue.

    "ec2:CreateTags", "ec2:DeleteTags"

    "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:instance/*"

    Consente l'etichettatura delle EC2 risorse Amazon create per i server notebook.

    Convenzione di denominazione: AWS Glue contrassegna EC2 le istanze Amazon con. aws-glue-service-resource

  5. Nella schermata Verifica policy, inserisci il Nome policy, ad esempio GlueServiceNotebookPolicyDefault. Digita una descrizione facoltativa e, al termine, seleziona Create policy (Crea policy).