ステップ 3: セキュリティ設定を構成する - AWS Glue

ステップ 3: セキュリティ設定を構成する

IAM ロール

クローラーはこのロールを取得します。これは、AWS 管理ポリシー AWSGlueServiceRole と同様のアクセス許可を持っている必要があります。Amazon S3 および DynamoDB ソースの場合、データストアへのアクセス許可も必要です。クローラーが AWS Key Management Service (AWS KMS) で暗号化された Amazon S3 データを読み取る場合は、ロールには AWS KMS キーでの復号化のアクセス許可が必要です。

Amazon S3 データストアの場合、ロールにアタッチされた追加のアクセス許可は次のようになります。

{
   "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
              "s3:GetObject",
              "s3:PutObject"
          ],
          "Resource": [
              "arn:aws:s3:::bucket/object*"
          ]
        }
    ]
}

Amazon DynamoDB データストアの場合、ロールにアタッチされた追加のアクセス許可は次のようになります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "dynamodb:DescribeTable",
        "dynamodb:Scan"
      ],
      "Resource": [
        "arn:aws:dynamodb:region:account-id:table/table-name*"
      ]
    }
  ]
}

自身の JDBC ドライバーを追加するには、アクセス許可を新たに追加する必要があります。

  • ジョブアクション CreateJobDeleteJobGetJobGetJobRunStartJobRun にアクセス権限を付与します。

  • Amazon S3 アクション s3:DeleteObjectss3:GetObjects3:ListBuckets3:PutObject にアクセス権限を付与します。

    注記

    Amazon S3 バケットポリシーが無効になっている場合、s3:ListBucket は必要ありません。

  • サービスプリンシパルに Amazon S3 ポリシーのバケット/フォルダへのアクセス権限を付与します。

Amazon S3 ポリシーの例: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/driver-parent-folder/driver.jar",
                "arn:aws:s3:::bucket-name"
            ]
        }
    ]
}

AWS Glue は以下のフォルダ (_crawler_glue_job_crawler) を Amazon S3 バケットに JDBC ドライバーと同じレベルで作成します。例えば、ドライバーパスが <s3-path/driver_folder/driver.jar> の場合、以下のフォルダがまだ存在しない場合は作成されます。

  • <s3-path/driver_folder/_crawler>

  • <s3-path/driver_folder/_glue_job_crawler>

必要に応じて、クローラーにセキュリティ設定を追加して、保管時の暗号化オプションを指定することができます。

詳細については、ステップ 2: AWS Glue 用の IAM ロールを作成するおよびAWS Glue のアイデンティティとアクセスの管理を参照してください。

Lake Formation 設定 - オプション

クローラーが Lake Formation の認証情報をデータソースのクローリングに使用できるようにします。

[Use Lake Formation credentials for crawling S3 data source] (S3 データソースのクローリングに Lake Formation 認証情報を使用する) をオンにすると、クローラーは Lake Formation 認証情報を使用してデータソースをクローリングできるようになります。データソースが別のアカウントに属する場合は、登録されているアカウント ID を指定する必要があります。そうしないと、クローラーはアカウントに関連付けられているデータソースのみをクローリングします。Amazon S3 とデータカタログのデータソースにのみ適用されます。

セキュリティ設定 - オプション

設定にはセキュリティ設定が含まれます。詳細については、次を参照してください:

注記

クローラーにセキュリティ設定を設定すると、変更できますが、削除することはできません。クローラーのセキュリティレベルを下げるには、設定内でセキュリティ機能を明示的に DISABLED に設定するか、新しいクローラーを作成します。