Etapa 2: Criar uma função do IAM para o AWS Glue - AWSUnião

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 2: Criar uma função do IAM para o AWS Glue

Você precisa conceder suas permissões de função do IAM queAWS GlueO pode assumir ao chamar outros serviços do em seu nome. Isso inclui acesso do Amazon S3 a quaisquer fontes, destinos, scripts e diretórios temporários utilizados com oAWS Glue. Crawlers, trabalhos e endpoints de desenvolvimento precisam dessa permissão.

Você concede essas permissões usando o AWS Identity and Access Management (IAM). Adicione uma política à função do IAM que você transmitir àAWS Glue.

Para criar uma função do IAM para o AWS Glue

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Roles.

  3. Selecione Create role.

  4. Para o tipo de função, escolhaAWSServiço, localize e escolhaUniãoe escolhaPróximo: Permissions

  5. NoPolítica de permissões para anexarEscolha as políticas que contêm as permissões necessárias; por exemplo, a opçãoAWSpolítica gerenciadaAWSGlueServicerolepara geralAWS GluePermissões e oAWSpolítica gerenciadaAmazonS3FullAccesspara acesso aos recursos do Amazon S3. Depois, selecione Next (Próximo): Análise.

    nota

    Verifique se uma das políticas nesta função concede permissões aos seus destinos e fontes do Amazon S3. Convém fornecer sua própria política de acesso a recursos específicos do Amazon S3. As fontes de dados exigem permissões s3:ListBucket e s3:GetObject. Os destinos de dados exigem permissões s3:ListBucket, s3:PutObject e s3:DeleteObject. Para obter mais informações sobre como criar uma política do Amazon S3 para seus recursos, consulteEspecificação de recursos em uma política. Para ver um exemplo de política do Amazon S3, consulteCriando políticas do IAM: Como conceder acesso a um bucket do Amazon S3.

    Se você pretende acessar as origens e os destinos do Amazon S3 que foram criptografados com SSE-KMS, anexe uma política que permita que oAWS GlueCrawlers, trabalhos e endpoints de desenvolvimento para descriptografar os dados do. Para obter mais informações, consulteProteção de dados usando criptografia no lado do servidor comAWS KMSChaves gerenciadas pelo (SSE-KMS).

    Veja um exemplo a seguir.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. Em Role name (Nome da função), insira um nome para a função; por exemplo, AWSGlueServiceRoleDefault. Crie a função com o nome prefixado com a stringAWSGlueServicerolePara permitir que a função seja transmitida do console de usuários para o serviço do.AWS GlueAs políticas fornecidas pelo presumem que as funções de serviço do IAMAWSGlueServicerole. Caso contrário, você precisará adicionar uma política para conceder aos seus usuários oiam:PassRolepermissão para funções do IAM corresponderem à sua convenção de nomenclatura. Selecione Create Role.