Etapa 3: Defina as configurações de segurança
- IAM role (Perfil do IAM)
-
O crawler assume essa função. Ele deve ter permissões para a política
AWSGlueServiceRole
gerenciada pela AWS. Para fontes do Amazon S3 e do DynamoDB, ele também deve ter permissões para acessar o datastore. Se o crawler ler os dados do Amazon S3 criptografados pelo AWS Key Management Service (AWS KMS), a função do IAM deverá ter permissão de descriptografia na chave do AWS KMS.Para um datastore do Amazon S3, permissões adicionais anexadas à função seriam semelhantes às seguintes:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::
bucket/object
*" ] } ] }Para um datastore do Amazon DynamoDB, permissões adicionais anexadas à função seriam semelhantes às seguintes:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:Scan" ], "Resource": [ "arn:aws:dynamodb:
region
:account-id
:table/table-name
*" ] } ] }Para adicionar seu próprio driver JDBC, permissões adicionais precisam ser adicionadas.
-
Conceda permissões para as seguintes ações:
CreateJob
,DeleteJob
,GetJob
,GetJobRun
,StartJobRun
. -
Conceda permissões para as ações do Amazon S3:
s3:DeleteObjects
,s3:GetObject
,s3:ListBucket
,s3:PutObject
.nota
s3:ListBucket
não é necessário se a política de buckets do Amazon S3 estiver desabilitada. -
Conceda acesso de entidade principal de serviço a bucket/pasta na política do Amazon S3.
Exemplo de política do Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::bucket-name/driver-parent-folder/driver.jar", "arn:aws:s3:::bucket-name" ] } ] }
O AWS Glue cria as pastas a seguir (
_crawler
e_glue_job_crawler
) no mesmo nível do driver JDBC no bucket do Amazon S3. Por exemplo, se o caminho do driver for<s3-path/driver_folder/driver.jar>
, as seguintes pastas serão criadas se ainda não existirem:-
<s3-path/driver_folder/_crawler>
-
<s3-path/driver_folder/_glue_job_crawler>
Opcionalmente, você pode adicionar uma configuração de segurança para um crawler para especificar opções de criptografia em repouso.
Para ter mais informações, consulte Etapa 2: criar um perfil do IAM para o AWS Glue e Gerenciamento de identidade e acesso do AWS Glue.
-
- Lake Formation configuration (Configuração do Lake Formation) - opcional
-
Permita que o crawler use credenciais do Lake Formation para fazer crawling na fonte de dados.
Marcar Use Lake Formation credentials for crawling S3 data source (Usar credenciais do Lake Formation para rastrear a fonte de dados do S3) permitirá que o crawler use as credenciais do Lake Formation para rastrear a fonte de dados. Se a fonte de dados pertencer a outra conta, você deve fornecer a ID da conta registrada. Senão, o crawler rastreará somente as fontes de dados associadas à conta. Aplicável somente às fontes de dados do Amazon S3 e do Data Catalog.
- Configuração de segurança - opcional
-
As configurações incluem configurações de segurança. Para obter mais informações, consulte as informações a seguir.
nota
Depois que uma configuração de segurança for definida em um crawler, você poderá alterá-la, mas não poderá removê-la. Para reduzir o nível de segurança em um crawler, defina explicitamente o recurso de segurança como
DISABLED
dentro da sua configuração ou crie um novo crawler.