As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões para pessoas e funções de esquemas do AWS Glue
A seguir estão as pessoas típicas e as políticas de permissões do AWS Identity and Access Management (IAM) sugeridas para pessoas e funções para os esquemas do AWS Glue.
Pessoas de esquemas
A seguir estão as pessoas normalmente envolvidas no ciclo de vida dos esquemas do AWS Glue.
Pessoa | Descrição |
---|---|
Desenvolvedor do AWS Glue | Desenvolve, testa e publica blueprints. |
Administrador da AWS Glue | Regista, mantém e concede permissões em blueprints. |
Analista de dados | Executa blueprints para criar fluxos de trabalho. |
Para ter mais informações, consulte Visão geral dos esquemas no AWS Glue.
Permissões para pessoas de esquemas
A seguir estão as permissões sugeridas para cada pessoa do blueprint.
Permissões de desenvolvedor do AWS Glue para esquemas
O desenvolvedor do AWS Glue deve ter permissões de gravação no bucket do Amazon S3 usado para publicar o esquema. Muitas vezes, o desenvolvedor registra o blueprint depois de carregá-lo. Nesse caso, o desenvolvedor precisa das permissões listadas em Permissões de administrador do AWS Glue para esquemas. Além disso, se o desenvolvedor desejar testar o blueprint após seu registro, ele ou ela também precisará das permissões listadas em Permissões de analista de dados para esquemas.
Permissões de administrador do AWS Glue para esquemas
A política a seguir concede permissões para registrar, visualizar e manter esquemas do AWS Glue.
Importante
Na política a seguir, substitua <s3-bucket-name>
e <prefix>
com o caminho do Amazon S3 dos arquivos ZIP de blueprint carregados a serem registrados.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateBlueprint", "glue:UpdateBlueprint", "glue:DeleteBlueprint", "glue:GetBlueprint", "glue:ListBlueprints", "glue:BatchGetBlueprints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::
<s3-bucket-name>
/<prefix>
/*" } ] }
Permissões de analista de dados para esquemas
A política a seguir concede permissões para executar blueprints e exibir o fluxo de trabalho resultante e seus componentes. Ela também concede PassRole
para a função que o AWS Glue assume para criar o fluxo de trabalho resultante e seus componentes.
A política concede permissões em qualquer recurso. Se você deseja configurar o acesso minucioso a blueprints individuais, use o seguinte formato para ARNs de blueprint:
arn:aws:glue:
<region>
:<account-id>
:blueprint/<blueprint-name>
Importante
Na política a seguir, substitua <account-id>
por uma conta da AWS válida e substitua <role-name>
pelo nome da função usada para executar um blueprint. Consulte Permissões para perfis de esquema para obter as permissões que essa função requer.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:ListBlueprints", "glue:GetBlueprint", "glue:StartBlueprintRun", "glue:GetBlueprintRun", "glue:GetBlueprintRuns", "glue:GetCrawler", "glue:ListTriggers", "glue:ListJobs", "glue:BatchGetCrawlers", "glue:GetTrigger", "glue:BatchGetWorkflows", "glue:BatchGetTriggers", "glue:BatchGetJobs", "glue:BatchGetBlueprints", "glue:GetWorkflowRun", "glue:GetWorkflowRuns", "glue:ListCrawlers", "glue:ListWorkflows", "glue:GetJob", "glue:GetWorkflow", "glue:StartWorkflowRun" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::
<account-id>
:role/<role-name>
" } ] }
Permissões para perfis de esquema
A seguir estão as permissões sugeridas para a função do IAM usada para criar um fluxo de trabalho a partir de um blueprint. A função deve ter uma relação de confiança com o glue.amazonaws.com
.
Importante
Na política a seguir, substitua <account-id>
por uma conta da AWS válida e substitua <role-name>
pelo nome da função.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateJob", "glue:GetCrawler", "glue:GetTrigger", "glue:DeleteCrawler", "glue:CreateTrigger", "glue:DeleteTrigger", "glue:DeleteJob", "glue:CreateWorkflow", "glue:DeleteWorkflow", "glue:GetJob", "glue:GetWorkflow", "glue:CreateCrawler" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::
<account-id>
:role/<role-name>
" } ] }
nota
Se os trabalhos e crawlers no fluxo de trabalho assumirem uma função diferente dessa, tal política deverá incluir a permissão iam:PassRole
nessa outra função, em vez de na função de blueprint.