AWS Glue
開発者ガイド

ステップ 2: AWS Glue 用の IAM ロールを作成する

代理で他のサービスを呼び出す際に AWS Glue が引き受けることができる IAM ロール権限を許可する必要があります。これには、AWS Glue で使用するすべてのソース、ターゲット、スクリプト、および一時ディレクトリに対する Amazon S3 へのアクセスが含まれます。クローラ、ジョブ、および開発エンドポイントによって許可が必要です。

AWS Identity and Access Management (IAM) を使用してアクセス権限を提供できます。AWS Glue に渡す IAM ロールにポリシーを追加します。

AWS Glue ​用に IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左のナビゲーションペインで、[Roles (ロール)] を選択します。

  3. [Create role (ロールの作成)] を選択します。

  4. ロールタイプについては、[AWS サービス] を選択し、[Glue] を見つけて選択して、[次へ: アクセス許可] を選択します。

  5. [アクセス権限ポリシーをアタッチする] ページで、一般的な AWS Glue の AWS 管理ポリシー [AWSGlueServiceRole]、Amazon S3 リソースにアクセスするための AWS 管理ポリシー [AmazonS3FullAccess] などの必要なアクセス権限を含むポリシーを選択します。続いて、[Next: Review (次へ: レビュー)] を選択します。

    注記

    このロールのポリシーの 1 つが Amazon S3 のソースとターゲットにアクセス権限を与えていることを確認してください。特定の Amazon S3 リソースにアクセスするための独自のポリシーを提供します。データソースには、s3:ListBucket および s3:GetObject アクセス権限が必要です。データターゲットには、s3:ListBuckets3:PutObject、および s3:DeleteObject アクセス権限が必要です。リソースの Amazon S3 ポリシーの作成の詳細については、「ポリシーでのリソースの指定」を参照してください。Amazon S3 ポリシーの例については、「IAM ポリシーの記述: Amazon S3 バケットへのアクセス権を付与する方法」を参照してください。

    SSE-KMS で暗号化された Amazon S3 のソースとターゲットにアクセスする予定がある場合は、AWS Glue のクローラ、ジョブ、開発エンドポイントがデータを復号化できるポリシーをアタッチしてください。詳細については、「AWS KMS で管理されたキーによるサーバー側の暗号化 (SSE-KMS) を使用したデータの保護」を参照してください。次に例を示します。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. [Role name (ロール名)] に、ロールの名前 (例: AWSGlueServiceRoleDefault) を入力します。コンソールユーザーからサービスにロールを渡すには、文字列 [AWSGlueServiceRole] のプレフィックスが付けられたロールを作成します。AWS Glue が提供するポリシーでは、IAM サービスロールが [AWSGlueServiceRole] で始まると予測しています。それ以外の場合は、ポリシーを追加して、IAM ロールの iam:PassRole アクセス権限がユーザーの命名規則に一致する必要があります。 [Create Role (ロールの作成)] を選択します。