ステップ 2: AWS Glue 用にIAM ロールを作成する - AWS Glue

ステップ 2: AWS Glue 用にIAM ロールを作成する

ユーザーに代わり他のサービスを呼び出す際に AWS Glue が引き受けることができる、IAM ロールのアクセス許可を付与する必要があります。これには、AWS Glue で使用するすべてのソース、ターゲット、スクリプト、および一時ディレクトリでの Amazon S3 へのアクセスが含まれます。クローラ、ジョブ、および開発エンドポイントによって許可が必要です。

AWS Identity and Access Management (IAM) を使用してアクセス権限を提供できます。AWS Glue に渡す IAM ロールにポリシーを追加します。

AWS Glue 用に IAM ロールを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左のナビゲーションペインで、[Roles (ロール)] を選択します。

  3. [Create role] を選択します。

  4. ロールタイプについては、[AWS Service] (AWS のサービス) をクリックしてから、[Glue] を見つけて選択し、[Next: Permissions] (次へ: アクセス許可) をクリックします。

  5. [Attach permissions policy] (アクセス許可ポリシーのアタッチ) ページで、必要なアクセス許可(一般的な AWS Glue のアクセス許可用の AWS 管理ポリシー AWSGlueServiceRole、および Amazon S3 リソースにアクセスするための AWS 管理ポリシー [AmazonS3FullAccess] など) を含むポリシーを選択します。続いて、[Next: Review (次へ: レビュー)] を選択します。

    注記

    Amazon S3 のソースとターゲットに対するアクセス許可を、このロールのポリシーの 1 つにより付与してください。独自のポリシーを、特定の Amazon S3 リソースにアクセスするために指定します。データソースには、s3:ListBucket および s3:GetObject アクセス権限が必要です。データターゲットには、s3:ListBuckets3:PutObject、および s3:DeleteObject アクセス権限が必要です。リソースの Amazon S3 ポリシーの作成については、「Specifying Resources in a Policy」を参照してください。Amazon S3 ポリシーの例については、「Writing IAM Policies: How to Grant Access to an Amazon S3 Bucket」を参照してください。

    SSE-KMS で暗号化された Amazon S3 のソースとターゲットにアクセスする予定がある場合は、AWS Glue のクローラ、ジョブ、開発エンドポイントに、データを復号化するためのポリシーをアタッチしてください。詳細については、「Protecting Data Using Server-Side Encryption with AWS KMS-Managed Keys (SSE-KMS)」を参照してください。

    次に例を示します。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. [Role name] (ロール名) に、AWSGlueServiceRoleDefault などのロール名を入力します。コンソールユーザーからサービスにロールを渡すには、名前に文字列 AWSGlueServiceRole のプレフィックスが付けられたロールを作成します。AWSGlueServiceRole が提供するポリシーでは、IAM サービスロールが AWS Glue で始まることを想定しています。それ以外の場合は、ユーザーにポリシーを追加して、IAM ロールの iam:PassRole アクセス許可をユーザーの命名規則に一致させる必要があります。[ロールの作成] を選択します。