Impostazione delle IAM autorizzazioni per AWS Glue - AWS Glue

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione delle IAM autorizzazioni per AWS Glue

Le istruzioni contenute in questo argomento consentono di configurare rapidamente AWS Identity and Access Management (IAM) le autorizzazioni per. AWS Glue Completa le seguenti operazioni:

  • Concedi alle tue IAM identità l'accesso alle risorse. AWS Glue

  • Crea un ruolo di servizio per l'esecuzione di lavori, l'accesso ai dati e l'esecuzione di attività di AWS Glue Data Quality.

Per istruzioni dettagliate che puoi utilizzare per personalizzare le IAM autorizzazioni per AWS Glue, consultaConfigurazione delle IAM autorizzazioni per AWS Glue.

Per impostare le IAM autorizzazioni per in AWS GlueAWS Management Console
  1. Accedi a AWS Management Console e apri la AWS Glue console all'indirizzo https://console.aws.amazon.com/glue/.

  2. Selezionare Getting started (Nozioni di base).

  3. In Prepara il tuo account per AWS Glue, scegli Configura IAM le autorizzazioni.

  4. Scegli IAM le identità (ruoli o utenti) a cui vuoi concedere le AWS Glue autorizzazioni. AWS Glue allega la policy AWSGlueConsoleFullAccess gestita a queste identità. Puoi saltare questo passaggio se desideri impostare queste autorizzazioni manualmente o impostare solo un ruolo di servizio predefinito.

  5. Scegli Next (Successivo).

  6. Scegli il livello di accesso ad Amazon S3 di cui hanno bisogno i tuoi ruoli e i tuoi utenti. Le opzioni scelte in questo passaggio vengono applicate a tutte le identità selezionate.

    1. In Scegli le posizioni S3, scegli le posizioni Amazon S3 a cui desideri concedere l'accesso.

    2. Quindi, seleziona se le tue identità devono avere accesso di sola lettura (consigliato) o di lettura e scrittura alle posizioni che hai selezionato in precedenza. AWS Glue aggiunge politiche di autorizzazione alle tue identità in base alla combinazione di posizioni e autorizzazioni di lettura o scrittura selezionate.

      La tabella seguente mostra le autorizzazioni associate per l' AWS Glue accesso ad Amazon S3.

      Se scegli... AWS Glue allega...
      Nessuna modifica Nessuna autorizzazione. AWS Glue non apporterà alcuna modifica alle autorizzazioni della tua identità.
      Concedi l'accesso a posizioni Amazon S3 specifiche (solo lettura)

      Una politica in linea incorporata nelle identità selezionateIAM. Per ulteriori informazioni, consulta Politiche in linea nella Guida per l'IAMutente.

      AWS Glue nomina la politica utilizzando la seguente convenzione:AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>. Ad esempio: AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123.

      Di seguito è riportato un esempio di policy in linea AWS Glue allegata per concedere l'accesso in sola lettura a una posizione Amazon S3 specificata.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] }
      Concedi l'accesso a posizioni Amazon S3 specifiche (lettura e scrittura) Una policy in linea incorporata nelle identità selezionate. IAM Per ulteriori informazioni, consulta Politiche in linea nella Guida per l'IAMutente.

      AWS Glue nomina la politica utilizzando la seguente convenzione:AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>. Ad esempio: AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123.

      Di seguito è riportato un esempio di policy in linea AWS Glue allegata per concedere l'accesso in lettura e scrittura a specifiche ubicazioni Amazon S3.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:*Object*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
      Concedi l'accesso completo ad Amazon S3 (solo lettura) La AmazonS3ReadOnlyAccess politica gestita. IAM Per ulteriori informazioni, consulta la politica AWS gestita: ReadOnlyAccess AmazonS3.
      Concedi l'accesso completo ad Amazon S3 (lettura e scrittura) La AmazonS3FullAccess politica gestita. IAM Per ulteriori informazioni, consulta la politica AWS gestita: FullAccess AmazonS3.
  7. Scegli Next (Successivo).

  8. Scegli un ruolo di AWS Glue servizio predefinito per il tuo account. Un ruolo di servizio è un IAM ruolo che viene AWS Glue utilizzato per accedere alle risorse di altri AWS servizi per tuo conto. Per ulteriori informazioni, consulta Ruoli di servizio per AWS Glue.

    • Quando scegli il ruolo di AWS Glue servizio standard, AWS Glue crea un nuovo IAM ruolo a tuo Account AWS nome AWSGlueServiceRole con le seguenti politiche gestite allegate. Se il tuo account ha già un IAM ruolo denominatoAWSGlueServiceRole, AWS Glue associa queste politiche al ruolo esistente.

      • AWSGlueServiceRole— Questa politica gestita è necessaria per AWS Glue accedere e gestire le risorse per tuo conto. Consente di AWS Glue creare, aggiornare ed eliminare varie risorse come AWS Glue lavori, crawler e connessioni. Questa politica concede anche le autorizzazioni per accedere ai Amazon CloudWatch log AWS Glue a scopo di registrazione. Per iniziare, consigliamo di utilizzare questa politica per imparare a usarla. AWS Glue Man mano che acquisisci maggiore AWS Glue dimestichezza, puoi creare policy che ti consentano di ottimizzare l'accesso alle risorse in base alle esigenze.

      • AmazonS3 FullAccess: questa politica gestita concede le autorizzazioni necessarie AWS Glue per l'accesso completo in lettura e scrittura alle risorse di Amazon S3. Questo ampio accesso è spesso necessario perché AWS Glue potrebbe essere necessario interagire con più bucket e percorsi Amazon S3 durante le sue operazioni. Per iniziare, consigliamo di utilizzare questa policy per imparare a usarla. AWS Glue

        Sebbene la politica FullAccess `AmazonS3` fornisca autorizzazioni ampie, è considerata una buona pratica seguire il principio del privilegio minimo e concedere autorizzazioni più restrittive, se possibile. Puoi creare una IAM policy personalizzata che conceda l'accesso solo ai bucket e ai percorsi specifici di Amazon S3 necessari per i AWS Glue tuoi job, crawler e fonti di dati. Tuttavia, questo approccio richiede un maggiore impegno nella gestione e nell'aggiornamento della policy man mano che l'utilizzo si evolve. AWS Glue

    • Quando scegli un IAM ruolo esistente, AWS Glue imposta il ruolo come predefinito, ma non aggiunge alcuna autorizzazione. Assicurati di aver configurato il ruolo da utilizzare come ruolo di AWS Glue servizio. Per ulteriori informazioni, consulta Fase 1: creare una policy IAM per il servizio AWS Glue e Fase 2: Creare un IAM ruolo per AWS Glue.

  9. Scegli Next (Successivo).

  10. Infine, rivedi le autorizzazioni che hai selezionato, quindi scegli Applica le modifiche. Quando applichi le modifiche, AWS Glue aggiunge IAM le autorizzazioni alle identità che hai selezionato. È possibile visualizzare o modificare le nuove autorizzazioni nella console all'IAMindirizzo. https://console.aws.amazon.com/iam/

Ora hai completato la configurazione delle IAM autorizzazioni minime per. AWS Glue In un ambiente di produzione, ti consigliamo di acquisire familiarità con Sicurezza in AWS Glue e di aiutarti Gestione delle identità e degli accessi per AWS Glue a proteggere AWS le risorse per il tuo caso d'uso.

Passaggi successivi

Ora che hai impostato IAM le autorizzazioni, puoi esplorare i seguenti argomenti per iniziare a utilizzarli: AWS Glue