ペルソナおよびロールのアクセス許可AWSGlue の設計図 - AWS Glue

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ペルソナおよびロールのアクセス許可AWSGlue の設計図

-AWSGlue ブループリントの機能は、AWSGlue は変更される可能性があります。

以下は典型的なペルソナであり、AWS Identity and Access Managementのペルソナおよびロールの (IAM) アクセス許可ポリシーAWS設計図Glue です。

ブループリントペルソナ

以下は、通常、のライフサイクルに関与するペルソナですAWS設計図Glue です。

ペルソナ 説明
AWSGlue 開発者 設計図を開発、テスト、公開します。
AWSGlue 管理者 ブループリントの登録、保守、およびアクセス許可を付与します。
データアナリスト ブループリントを実行してワークフローを作成します。

詳細については、「のブループリントの概要AWS接着語」を参照してください。

ブループリントペルソナのアクセス許可

ブループリントペルソナごとに推奨されるアクセス許可を次に示します。

AWSブループリントの Glue 開発者権限

-AWSGlue 開発者には、ブループリントの公開に使用される Amazon S3 バケットに対する書き込み権限が必要です。多くの場合、開発者はブループリントをアップロードした後に登録します。その場合、開発者はAWSブループリントの Glue 管理者アクセス許可。さらに、開発者が登録後にブループリントをテストする場合は、ブループリントのデータアナリスト権限

AWSブループリントの Glue 管理者アクセス許可

次のポリシーでは、登録、表示、保守を行う権限が付与されます。AWS設計図Glue です。

重要

次のポリシーでは、<s3-bucket-name>および<prefix>を、アップロードされたブループリント ZIP アーカイブへの Amazon S3 パスに置き換えて登録します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateBluePrint", "glue:UpdateBlueprint", "glue:DeleteBluePrint", "glue:GetBluePrint", "glue:ListBlueprints", "glue:BatchGetBlueprints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::<s3-bucket-name>/<prefix>/*" } ] }

ブループリントのデータアナリスト権限

次のポリシーは、ブループリントを実行し、結果のワークフローとワークフローコンポーネントを表示するアクセス許可を付与します。また、PassRoleというロールのAWSGlue は、ワークフローおよびワークフローコンポーネントを作成することを前提としています。

このポリシーは、任意のリソースに対するアクセス権限を付与します。個々のブループリントへのきめ細かなアクセスを構成する場合は、ブループリント ARN に次の形式を使用します。

arn:aws:glue:<region>:<account-id>:blueprint/<blueprint-name>
重要

次のポリシーでは、<account-id>有効なAWSアカウントと置き換える<role-name>をブループリントの実行に使用するロールの名前に置き換えます。「」を参照してください。ブループリントロールのアクセス許可で、このロールに必要なアクセス許可を指定します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:ListBlueprints", "glue:GetBlueprint", "glue:StartBlueprintRun", "glue:GetBlueprintRun", "glue:GetBlueprintRuns", "glue:GetCrawler", "glue:ListTriggers", "glue:ListJobs", "glue:BatchGetCrawlers", "glue:GetTrigger", "glue:BatchGetWorkflows", "glue:BatchGetTriggers", "glue:BatchGetJobs", "glue:BatchGetBlueprints", "glue:GetWorkflowRun", "glue:GetWorkflowRuns", "glue:ListCrawlers", "glue:ListWorkflows", "glue:GetJob", "glue:GetWorkflow", "glue:StartWorkflowRun" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::<account-id>:role/<role-name>" } ] }

ブループリントロールのアクセス許可

ブループリントからワークフローを作成するために使用される IAM ロールに推奨されるアクセス許可を次に示します。ロールはとの信頼関係が必要ですglue.amazonaws.com

重要

次のポリシーでは、<account-id>有効なAWSアカウントを作成し、<role-name>ロールの名前に置き換えます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateJob", "glue:GetCrawler", "glue:GetTrigger", "glue:DeleteCrawler", "glue:CreateTrigger", "glue:DeleteTrigger", "glue:DeleteJob", "glue:CreateWorkflow", "glue:DeleteWorkflow", "glue:GetJob", "glue:GetWorkflow", "glue:CreateCrawler" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::<account-id>:role/<role-name>" } ] }
注記

ワークフロー内のジョブとクローラがこのロール以外のロールを引き受ける場合、このポリシーにはiam:PassRoleアクセス許可を、ブループリントロールではなく、その他のロールに対して付与します。