AWS Glue 用の IAM アクセス許可のセットアップ - AWS Glue
次のステップ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Glue 用の IAM アクセス許可のセットアップ

このトピックの手順は、AWS Glue の AWS Identity and Access Management (IAM) アクセス許可をすばやくセットアップするのに役立ちます。以下のタスクを実行します。

  • IAM ID に AWS Glue リソースへのアクセスを許可します。

  • ジョブの実行、データへのアクセス、AWS Glue Data Quality タスクの実行のためのサービスロールを作成します。

AWS Glue の IAM アクセス許可をカスタマイズするために使用できる詳細な手順については、「AWS Glue の IAM アクセス許可の設定」を参照してください。

AWS Management Console で AWS Glue の IAM アクセス許可をセットアップするには

  1. AWS Management Console にサインインし、AWS Glue コンソール (https://console.aws.amazon.com/glue/) を開きます。

  2. [開始方法] を選択します。

  3. [AWS Glue のアカウントの準備] で、[IAM アクセス許可のセットアップ] を選択します。

  4. AWS Glue アクセス許可を付与する IAM ID (ロールまたはユーザー) を選択します。AWS Glue は AWSGlueConsoleFullAccess マネージドポリシーをこれらの ID にアタッチします。これらのアクセス許可を手動で設定する場合、またはデフォルトのサービスロールを設定するだけでよい場合は、このステップをスキップできます。

  5. [Next] を選択します。

  6. ロールとユーザーが必要とする Amazon S3 アクセス権のレベルを選択します。このステップで選択したオプションは、選択したすべての ID に適用されます。

    1. [S3 ロケーションの選択] で、アクセスを許可する Amazon S3 ロケーションを選択します。

    2. 次に、上記で選択したロケーションに対して各 ID に付与するアクセス権を [読み取り専用] (推奨) にするか [読み取りおよび書き込み] にするかを選択します。AWS Glue は、選択した読み取りまたは書き込みアクセス許可とロケーションとの組み合わせに基づいて、アクセス許可ポリシーを ID に追加します。

      次の表は、AWS Glue が Amazon S3 アクセスに付与するアクセス許可を示しています。

      選択内容 AWS Glue がアタッチする内容
      変更なし アクセス許可は付与されません。AWS Glue は ID のアクセス許可を何も変更しません。
      特定の Amazon S3 ロケーションへのアクセスを許可する (読み取り専用)

      選択した IAM ID に埋め込まれたインラインポリシー。詳細については、「IAM ユーザーガイド」の「インラインポリシー」を参照してください。

      AWS Glue は、次の規則を使用してポリシーに名前を付けます: AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>。例: AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123

      以下は、指定した Amazon S3 ロケーションへの読み取り専用アクセスを許可するように AWS Glue がアタッチするインラインポリシーの例です。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        }
    ]
}
      特定の Amazon S3 ロケーションへのアクセスを許可する (読み取りと書き込み) 選択した IAM ID に埋め込まれたインラインポリシー。詳細については、「IAM ユーザーガイド」の「インラインポリシー」を参照してください。

      AWS Glue は、次の規則を使用してポリシーに名前を付けます: AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>。例: AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123

      以下は、指定した Amazon S3 ロケーションへの読み取りと書き込みアクセスを許可するように AWS Glue がアタッチするインラインポリシーの例です。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*",
                "s3:*Object*"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"
            ]
        }
    ]
}
      すべての Amazon S3 へのアクセスを許可する (読み取り専用) AmazonS3ReadOnlyAccess マネージド IAM ポリシー。詳細については、「AWS マネージドポリシー: AmazonS3ReadOnlyAccess」を参照してください。
      すべての Amazon S3 へのアクセスを許可する (読み取りと書き込み) AmazonS3FullAccess マネージド IAM ポリシー。詳細については、「AWS マネージドポリシー: AmazonS3FullAccess」を参照してください。

  7. [Next] を選択します。

  8. アカウントのデフォルトの AWS Glue サービスロールを選択します。サービスロールは、AWS Glue がユーザーに代わって他の AWS のサービスのリソースにアクセスするのに使用する IAM ロールです。詳細については、「AWS Glue のサービスロール」を参照してください。

    • 標準の AWS Glue サービスロールを選択すると、AWS Glue は AWS アカウント に新しい IAM ロールを AWSGlueServiceRole という名前で作成して、次のマネージドポリシーをアタッチします。アカウントに既に AWSGlueServiceRole という名前の IAM ロールがある場合は、AWS Glue はこれらのポリシーをその既存のロールにアタッチします。

    • 既存の IAM ロールを選択すると、AWS Glue はそのロールをデフォルトとして設定しますが、アクセス許可は何も追加しません。ロールが AWS Glue のサービスロールとして使用されるように設定したことを確認してください。詳細については、ステップ 1: AWS Glue サービスの IAM ポリシーを作成するおよびステップ 2: AWS Glue 用の IAM ロールを作成するを参照してください。

  9. [Next] を選択します。

  10. 最後に、選択したアクセス許可を確認し、[変更を適用] を選択します。変更を適用すると、AWS Glue は選択した ID に IAM アクセス許可を追加します。IAM コンソール (https://console.aws.amazon.com/iam/) で新しいアクセス許可の表示や変更ができます。

これで、AWS Glue の最小限の IAM アクセス許可のセットアップが完了しました。実稼働環境では、「AWS Glue のセキュリティ」と「AWS Glue の Identity and Access Management」をよく理解し、ユースケースに対して AWS リソースを確保できるようにすることをお勧めします。

次のステップ

IAM アクセス許可の設定が完了したので、次のトピックを確認して AWS Glue の使用を開始できます。