ステップ 3: セキュリティ設定を構成する
- IAM ロール
-
クローラーはこのロールを取得します。これは、AWS 管理ポリシー
AWSGlueServiceRole
と同様のアクセス許可を持っている必要があります。Amazon S3 および DynamoDB ソースの場合、データストアへのアクセス許可も必要です。クローラーが AWS Key Management Service (AWS KMS) で暗号化された Amazon S3 データを読み取る場合は、ロールには AWS KMS キーでの復号化のアクセス許可が必要です。Amazon S3 データストアの場合、ロールにアタッチされた追加のアクセス許可は次のようになります。
Amazon DynamoDB データストアの場合、ロールにアタッチされた追加のアクセス許可は次のようになります。
自身の JDBC ドライバーを追加するには、アクセス許可を新たに追加する必要があります。
-
ジョブアクション
CreateJob
、DeleteJob
、GetJob
、GetJobRun
、StartJobRun
にアクセス権限を付与します。 -
Amazon S3 アクション
s3:DeleteObjects
、s3:GetObject
、s3:ListBucket
、s3:PutObject
にアクセス権限を付与します。注記
Amazon S3 バケットポリシーが無効になっている場合、
s3:ListBucket
は必要ありません。 -
サービスプリンシパルに Amazon S3 ポリシーのバケット/フォルダへのアクセス権限を付与します。
Amazon S3 ポリシーの例:
AWS Glue は以下のフォルダ (
_crawler
と_glue_job_crawler
) を Amazon S3 バケットに JDBC ドライバーと同じレベルで作成します。例えば、ドライバーパスが<s3-path/driver_folder/driver.jar>
の場合、以下のフォルダがまだ存在しない場合は作成されます。-
<s3-path/driver_folder/_crawler>
-
<s3-path/driver_folder/_glue_job_crawler>
必要に応じて、クローラーにセキュリティ設定を追加して、保管時の暗号化オプションを指定することができます。
詳細については、「ステップ 2: AWS Glue 用の IAM ロールを作成する」および「AWS Glue のアイデンティティとアクセスの管理」を参照してください。
-
- Lake Formation 設定 - オプション
-
クローラーが Lake Formation の認証情報をデータソースのクローリングに使用できるようにします。
[Use Lake Formation credentials for crawling S3 data source] (S3 データソースのクローリングに Lake Formation 認証情報を使用する) をオンにすると、クローラーは Lake Formation 認証情報を使用してデータソースをクローリングできるようになります。データソースが別のアカウントに属する場合は、登録されているアカウント ID を指定する必要があります。そうしないと、クローラーはアカウントに関連付けられているデータソースのみをクローリングします。Amazon S3 とデータカタログのデータソースにのみ適用されます。
- セキュリティ設定 - オプション
-
設定にはセキュリティ設定が含まれます。詳細については次を参照してください:
注記
クローラーにセキュリティ設定を設定すると、変更できますが、削除することはできません。クローラーのセキュリティレベルを下げるには、設定内でセキュリティ機能を明示的に
DISABLED
に設定するか、新しいクローラーを作成します。