Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 3: configurare le impostazioni di sicurezza
- IAMruolo
-
Il crawler assume questo ruolo. Deve avere autorizzazioni simili alla policy AWS
AWSGlueServiceRole
gestita. Per le origini Amazon S3 e DynamoDB, deve disporre anche delle autorizzazioni per accedere all'archivio dati. Se il crawler legge i dati di Amazon S3 crittografati con AWS Key Management Service (AWS KMS), il ruolo deve disporre delle autorizzazioni di decrittografia sulla chiave. AWS KMSPer un archivio dati Amazon S3, autorizzazioni aggiuntive collegate al ruolo saranno simili alle seguenti:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::
bucket/object
*" ] } ] }Per un archivio dati Amazon DynamoDB, autorizzazioni aggiuntive collegate al ruolo saranno simili alle seguenti:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:Scan" ], "Resource": [ "arn:aws:dynamodb:
region
:account-id
:table/table-name
*" ] } ] }Per aggiungere il proprio JDBC driver, è necessario aggiungere autorizzazioni aggiuntive.
-
Concedi le autorizzazioni per le seguenti operazioni di processo:
CreateJob
,DeleteJob
,GetJob
,GetJobRun
,StartJobRun
. -
Concedi le autorizzazioni per le operazioni di Amazon S3:
s3:DeleteObjects
,s3:GetObject
,s3:ListBucket
,s3:PutObject
.Nota
Il valore
s3:ListBucket
non è necessario se la policy del bucket Amazon S3 è disabilitata. -
Concedi al principale del servizio l'accesso al bucket/cartella nella policy di Amazon S3.
Esempio di policy Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::bucket-name/driver-parent-folder/driver.jar", "arn:aws:s3:::bucket-name" ] } ] }
AWS Glue crea le seguenti cartelle (
_crawler
e_glue_job_crawler
allo stesso livello del JDBC driver) nel tuo bucket Amazon S3. Ad esempio, se il percorso del driver è<s3-path/driver_folder/driver.jar>
, verranno create le seguenti cartelle, se non esistono ancora:-
<s3-path/driver_folder/_crawler>
-
<s3-path/driver_folder/_glue_job_crawler>
Puoi facoltativamente aggiungere una configurazione di sicurezza a un crawler per specificare opzioni di crittografia dei dati inattivi.
Per ulteriori informazioni, consulta Fase 2: Creare un IAM ruolo per AWS Glue e Gestione delle identità e degli accessi per AWS Glue.
-
- Configurazione Lake Formation: facoltativa
-
Consenti al crawler di utilizzare le credenziali di Lake Formation per il crawling dell'origine dati.
Selezionando Use Lake Formation credentials for crawling S3 data source (Usa le credenziali di Lake Formation per il crawling dell'origine dati S3), il crawler potrà utilizzare le credenziali di Lake Formation per il crawling dell'origine dati. Se l'origine appartiene a un altro account, è necessario fornire l'ID dell'account registrato. Altrimenti, il crawler eseguirà il crawling solo delle origini dati associate all'account. Applicabile solo a origini dati Amazon S3 e del catalogo dati.
- Configurazione di sicurezza: facoltativa
-
Le impostazioni includono le configurazioni di sicurezza. Per ulteriori informazioni, consulta gli argomenti seguenti:
Nota
Una volta impostata una configurazione di sicurezza su un crawler, puoi modificarla, ma non puoi rimuoverla. Per ridurre il livello di sicurezza su un crawler, imposta esplicitamente la funzionalità di sicurezza all'
DISABLED
interno della tua configurazione o crea un nuovo crawler.