Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esaminare le autorizzazioni IAM necessarie per l'utente AWS Glue Studio
Per utilizzare AWS Glue Studio, l'utente deve avere accesso a varie risorse AWS. L'utente deve essere in grado di visualizzare e selezionare i bucket Amazon S3, le policy e i ruoli IAM e gli oggetti AWS Glue Data Catalog.
Autorizzazioni di servizio AWS Glue
AWS Glue Studio utilizza le operazioni e le risorse del servizio AWS Glue. Per utilizzare in modo efficace AWS Glue Studio, l'utente ha bisogno delle autorizzazioni per tali operazioni e risorse. È possibile concedere all'utente di AWS Glue Studio la policy gestita da AWSGlueConsoleFullAccess
oppure creare una policy personalizzata con un set di autorizzazioni più piccolo.
Importante
In base alle best practice di sicurezza, si consiglia di limitare l'accesso rafforzando le policy per limitare ulteriormente l'accesso al bucket Amazon S3 e ai gruppi di log Amazon CloudWatch. Per un esempio di policy Amazon S3, consulta la pagina relativa alla scrittura di policy IAM per concedere l'accesso a un bucket Amazon S3
Creazione di criteri IAM personalizzati per AWS Glue Studio
È possibile creare una policy personalizzata con un set di autorizzazioni più piccolo per AWS Glue Studio. La policy può concedere autorizzazioni per un sottoinsieme di oggetti o operazioni. Durante la creazione di una policy personalizzata, utilizza le seguenti informazioni.
Per utilizzare AWS Glue Studio API, includi glue:UseGlueStudio
nella policy di operazione nelle autorizzazioni IAM. L'utilizzo di glue:UseGlueStudio
ti permetterà di accedere a tutte le operazioni di AWS Glue Studio anche quando più operazioni vengono aggiunte all'API nel tempo.
Operazioni del grafo aciclico orientato (DAG)
-
CreateDag
-
UpdateDag
-
GetDag
-
DeleteDag
Operazioni di processo
-
SaveJob
-
GetJob
-
CreateJob
-
DeleteJob
-
GetJob
-
UpdateJob
Opzione di esecuzione del processo
-
StartJobRun
-
GetJobRuns
-
BatchStopJobRun
-
GetJobRuns
-
QueryJobRuns
-
QueryJobs
-
QueryJobRunsAggregated
Operazioni dello schema
-
GetSchema
-
GetInferredSchema
Operazioni del database
-
GetDatabases
Operazioni del piano
-
GetPlan
Operazioni della tabella
-
SearchTables
-
GetTables
-
GetTables
Operazioni di connessione
-
CreateConnection
-
DeleteConnection
UpdateConnection
-
GetConnections
-
GetConnection
Operazioni di mappatura
-
GetMapping
Operazioni proxy S3
-
ListBuckets
-
ListObjectsV2
-
GetBucketLocation
Operazioni di configurazione di sicurezza
-
GetSecurityConfigurations
Operazioni di script
-
CreateScript (diverso dall'API con lo stesso nome in AWS Glue)
Accedendo alle API AWS Glue Studio
Per accedere a AWS Glue Studio, aggiungi glue:UseGlueStudio
nell'elenco delle policy delle operazioni nelle autorizzazioni IAM.
Nell'esempio riportato di seguito glue:UseGlueStudio
è incluso nella policy delle operazioni, ma le API AWS Glue Studio non sono identificate singolarmente. Questo perché quando includi glue:UseGlueStudio
, viene automaticamente consentito l'accesso alle API interne senza dover specificare l'individuo AWS Glue Studio API nelle autorizzazioni IAM.
Nell'esempio, le policy delle operazioni aggiuntive elencate (ad esempio glue:SearchTables
) non sono AWS Glue Studio API, quindi dovranno essere incluse nelle autorizzazioni IAM come richiesto. Potresti inoltre includere operazioni Amazon S3 Proxy per specificare il livello di accesso Amazon S3 da concedere. La policy di esempio riportata di seguito fornisce l'accesso per aprire AWS Glue Studio, creare un processo visivo e salvarlo/eseguirlo se il ruolo IAM selezionato dispone dell'accesso sufficiente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "glue:UseGlueStudio", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "glue:SearchTables", "glue:GetConnections", "glue:GetJobs", "glue:GetTables", "glue:BatchStopJobRun", "glue:GetSecurityConfigurations", "glue:DeleteJob", "glue:GetDatabases", "glue:CreateConnection", "glue:GetSchema", "glue:GetTable", "glue:GetMapping", "glue:CreateJob", "glue:DeleteConnection", "glue:CreateScript", "glue:UpdateConnection", "glue:GetConnection", "glue:StartJobRun", "glue:GetJobRun", "glue:UpdateJob", "glue:GetPlan", "glue:GetJobRuns", "glue:GetTags", "glue:GetJob", "glue:QueryJobRuns", "glue:QueryJobs", "glue:QueryJobRunsAggregated" ], "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] }
Autorizzazioni per notebook e anteprima dati
Le anteprime dei dati e i notebook consentono di visualizzare un campione dei dati in qualsiasi fase del processo (lettura, trasformazione, scrittura), senza doverlo eseguire. Specifica un ruolo AWS Identity and Access Management (IAM) per AWS Glue Studio da utilizzare quando si accede ai dati. I ruoli IAM sono destinati ad essere prevedibili e non hanno credenziali standard a lungo termine come una password o chiavi d'accesso associate ad esso. Invece, quando AWS Glue Studio assume il ruolo, IAM fornisce credenziali di sicurezza temporanee.
Per garantire che le anteprime dei dati e i comandi del notebook funzionino correttamente, usa un ruolo con un nome che inizia con la stringa AWSGlueServiceRole
. Se decidi di usare un altro nome per il ruolo, dovrai aggiungere l'autorizzazione iam:passrole
e configurare una policy per il ruolo in IAM. Per ulteriori informazioni, consulta Crea una policy IAM per ruoli non denominati "AWSGlueServiceRole*".
avvertimento
Se un ruolo concede l'autorizzazione iam:passrole
per un notebook e tu implementi il concatenamento dei ruoli, un utente potrebbe ottenere involontariamente l'accesso al notebook. Al momento non è implementato alcun controllo che permetta di monitorare a quali utenti sia stato concesso l'accesso al notebook.
Se desideri negare a un'identità IAM la possibilità di creare sessioni di anteprima dei dati, consulta l'esempio di Negare a un'identità la possibilità di creare sessioni di anteprima dei dati seguente.
Autorizzazioni di Amazon CloudWatch
Puoi monitorare i processi AWS Glue Studio usando Amazon CloudWatch, che raccoglie i dati non elaborati da AWS Glue e li elabora trasformandoli in parametri leggibili quasi in tempo reale. Per impostazione predefinita, i dati dei parametri AWS Glue vengono inviati automaticamente a CloudWatch. Per maggiori informazioni, consulta Che cos'è Amazon CloudWatch? nella Guida per l'utente di Amazon CloudWatch e Parametri AWS Glue nella Guida per gli sviluppatori di AWS Glue.
Per accedere ai pannelli di controllo di CloudWatch, l'utente che accede ad AWS Glue Studio ha bisogno di uno dei seguenti elementi:
-
La policy
AdministratorAccess
-
La policy
CloudWatchFullAccess
-
Una policy personalizzata che includa una o più di queste autorizzazioni specifiche:
-
cloudwatch:GetDashboard
ecloudwatch:ListDashboards
per visualizzare i pannelli di controllo -
cloudwatch:PutDashboard
per creare o modificare i pannelli di controllo -
cloudwatch:DeleteDashboards
per eliminare i pannelli di controllo
-
Per ulteriori informazioni sulla modifica delle autorizzazioni per un utente IAM utilizzando le policy, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente IAM.