Nozioni di base sui notebook in AWS Glue Studio

All'avvio di un notebook tramite AWS Glue Studio, tutti i passaggi di configurazione vengono eseguiti, in modo che tu possa esplorare i dati e iniziare a sviluppare lo script del processo dopo pochi secondi.

Nelle seguenti sezioni viene descritto come creare un ruolo e concedere le autorizzazioni appropriate per utilizzare i notebook in AWS Glue Studio per i processi ETL.

Concessione di autorizzazioni per il ruolo IAM

Configurare AWS Glue Studio è un prerequisito per l'utilizzo di notebook.

Per utilizzare i notebook in AWS Glue, il tuo ruolo richiede quanto segue:

• Una relazione di fiducia con AWS Glue per l'operazione sts:AssumeRole e, se vuoi, taggare sts:TagSession.

• Una policy IAM contenente tutte le operazioni API per notebook, AWS Glue e sessioni interattive.

• Una policy IAM per un ruolo pass poiché il ruolo deve essere in grado di passare da notebook alle sessioni interattive.

Ad esempio, quando si crea un nuovo ruolo, è possibile aggiungere al ruolo una policy gestita da AWS standard come AWSGlueConsoleFullAccessRole, quindi aggiungere una nuova policy per le operazioni del notebook e un'altra per la policy IAM PassRole.

Azioni necessarie per una relazione di fiducia con AWS Glue

Quando si avvia una sessione di notebook, è necessario aggiungere sts:AssumeRole alla relazione di fiducia del ruolo che viene trasmesso a notebook. Se la tua sessione include tag, devi anche passare l'operazione sts:TagSession. Senza queste azioni, la sessione di notebook non può essere avviata.

Ad esempio:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "glue.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
          
        

Policy contenenti le operazioni API per notebook

Nella seguente policy di esempio sono descritte le Autorizzazioni IAM AWS per notebook. Se stai creando un nuovo ruolo, crea una policy che contenga quanto segue:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:StartNotebook",
                "glue:TerminateNotebook",
                "glue:GlueNotebookRefreshCredentials",
                "glue:DeregisterDataPreview",
                "glue:GetNotebookInstanceStatus",
                "glue:GlueNotebookAuthorize"
            ],
            "Resource": "*"
        }
    ]
}

È possibile utilizzare le seguenti policy IAM per consentire l'accesso a risorse specifiche:

• AwsGlueSessionUserRestrictedNotebookServiceRole: fornisce accesso totale a tutte le risorse AWS Glue tranne che per le sessioni. Permette agli utenti di creare e utilizzare solo le sessioni notebook associate all'utente. Questa policy include anche altre autorizzazioni necessarie ad AWS Glue per gestire le risorse AWS Glue in altri servizi AWS.

• AwsGlueSessionUserRestrictedNotebookPolicy: fornisce autorizzazioni che consentono agli utenti di creare e utilizzare solo le sessioni di notebook associate all'utente. Questa policy include anche le autorizzazioni per consentire esplicitamente agli utenti di passare un ruolo di sessione AWS Glue limitato.

Policy IAM per trasmettere un ruolo

Quando crei un notebook con un ruolo, tale ruolo viene passato alle sessioni interattive in modo che lo stesso ruolo possa essere utilizzato in entrambe le posizioni. Come tale, il permesso iam:PassRole deve essere parte della policy del ruolo.

Crea una nuova policy per il tuo ruolo utilizzando l'esempio seguente. Sostituisci il numero di account con il tuo e il nome del ruolo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::090000000210:role/<role_name>"
        }
    ]
}