Etapa 4: criar uma política do IAM para servidores de cadernos

Se você planeja usar notebooks com endpoints de desenvolvimento, precisará especificar permissões ao criar o servidor de notebook. Você concede essas permissões usando o AWS Identity and Access Management (IAM).

Essa política concede permissão a algumas ações do Amazon S3 para o gerenciamento dos recursos na sua conta que são exigidos pelo AWS Glue quando ele assume uma função usando essa política. Alguns dos recursos especificados nessa política referem-se a nomes padrão que são usados pelo AWS Glue para buckets do Amazon S3, scripts de ETL do Amazon S3 e recursos do Amazon EC2. Por questões de simplicidade, o AWS Glue grava por padrão alguns objetos do Amazon S3 em buckets da sua conta com o prefixo aws-glue-*.

nota

Você pode ignorar esta etapa se usar a política gerenciada pela AWS AWSGlueServiceNotebookRole.

Nesta etapa, você cria uma política semelhante a AWSGlueServiceNotebookRole. Você pode encontrar a versão mais atual da AWSGlueServiceNotebookRole no console do IAM.

Para criar uma política do IAM para cadernos

Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação à esquerda, escolha Políticas.
Escolha Criar política.

Na tela Create Policy, navegue até uma guia para editar o JSON. Crie um documento de política com as seguintes instruções JSON e escolha Review policy.


{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "glue:CreateDatabase",
            "glue:CreatePartition",
            "glue:CreateTable",
            "glue:DeleteDatabase",
            "glue:DeletePartition",
            "glue:DeleteTable",
            "glue:GetDatabase",
            "glue:GetDatabases",
            "glue:GetPartition",
            "glue:GetPartitions",
            "glue:GetTable",
            "glue:GetTableVersions",
            "glue:GetTables",
            "glue:UpdateDatabase",
            "glue:UpdatePartition",
            "glue:UpdateTable",
            "glue:GetJobBookmark",
            "glue:ResetJobBookmark",
            "glue:CreateConnection",
            "glue:CreateJob",
            "glue:DeleteConnection",
            "glue:DeleteJob",
            "glue:GetConnection",
            "glue:GetConnections",
            "glue:GetDevEndpoint",
            "glue:GetDevEndpoints",
            "glue:GetJob",
            "glue:GetJobs",
            "glue:UpdateJob",
            "glue:BatchDeleteConnection",
            "glue:UpdateConnection",
            "glue:GetUserDefinedFunction",
            "glue:UpdateUserDefinedFunction",
            "glue:GetUserDefinedFunctions",
            "glue:DeleteUserDefinedFunction",
            "glue:CreateUserDefinedFunction",
            "glue:BatchGetPartition",
            "glue:BatchDeletePartition",
            "glue:BatchCreatePartition",
            "glue:BatchDeleteTable",
            "glue:UpdateDevEndpoint",
            "s3:GetBucketLocation",
            "s3:ListBucket",
            "s3:ListAllMyBuckets",
            "s3:GetBucketAcl"
         ],
         "Resource":[  
            "*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "s3:GetObject"
         ],
         "Resource":[  
            "arn:aws:s3:::crawler-public*",
            "arn:aws:s3:::aws-glue*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "s3:PutObject",
            "s3:DeleteObject"			
         ],
         "Resource":[  
            "arn:aws:s3:::aws-glue*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "ec2:CreateTags",
            "ec2:DeleteTags"
         ],
         "Condition":{  
            "ForAllValues:StringEquals":{  
               "aws:TagKeys":[  
                  "aws-glue-service-resource"
               ]
            }
         },
         "Resource":[  
            "arn:aws:ec2:*:*:network-interface/*",
            "arn:aws:ec2:*:*:security-group/*",
            "arn:aws:ec2:*:*:instance/*"
         ]
      }
   ]
}

A tabela a seguir descreve as permissões concedidas por esta política.

Ação	Recurso	Descrição
`"glue:*"`	`"*"`	Concede permissão para executar todas as operações de API do AWS Glue.
`"s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketAcl"`	`"*"`	Permite listar buckets do Amazon S3 a partir de servidores de cadernos.
`"s3:GetObject"`	`"arn:aws:s3:::crawler-public", "arn:aws:s3:::aws-glue-"`	Permite obter objetos do Amazon S3 usados por exemplos e tutoriais dos cadernos. Convenção de nomenclatura: os nomes de buckets do Amazon S3 começam com crawler-public e aws-glue-.
`"s3:PutObject", "s3:DeleteObject"`	`"arn:aws:s3:::aws-glue*"`	Permite incluir e excluir objetos do Amazon S3 na sua conta a partir de cadernos. Convenção de nomenclatura: usa pastas do Amazon S3 chamadas aws-glue.
`"ec2:CreateTags", "ec2:DeleteTags"`	`"arn:aws:ec2:::network-interface/", "arn:aws:ec2:::security-group/", "arn:aws:ec2:::instance/*"`	Permite marcar recursos do Amazon EC2 criados para servidores de cadernos. Convenção de nomenclatura: o AWS Glue marca instâncias do Amazon EC2 com aws-glue-service-resource.

Na tela Review Policy (Revisar política), digite o Policy Name (Nome da política), por exemplo, GlueServiceNotebookPolicyDefault. Digite uma descrição opcional e, quando estiver satisfeito com a política, escolha Create policy (Criar política).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Etapa 3: anexar uma política aos usuários ou grupos que acessam o AWS Glue

Etapa 5: criar um perfil do IAM para servidores de cadernos