步驟 2:建立IAM角色 AWS Glue - AWS Glue

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 2:建立IAM角色 AWS Glue

代表您呼叫其他服務時,AWS Glue您必須授予IAM角色權限。這包括存取 Amazon S3 的任何來源、目標、指令碼和使用於 AWS Glue 的臨時目錄。爬蟲程式、工作和開發端點皆需要許可。

您可以使用 AWS Identity and Access Management (IAM) 提供這些權限。將政策新增至您傳遞的IAM角色AWS Glue。

若要建立IAM角色AWS Glue
  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在左側導覽窗格中,選擇 Roles (角色)。

  3. 選擇建立角色

  4. 選擇 [AWS 服務] 做為信任的實體類型。然後,對於服務或用例,查找並選擇AWS Glue。選擇 Next (下一步)

  5. 在 [新增許可] 頁面上,選擇包含所需許可的政策;例如,一般AWS Glue許可AWSGlueServiceRole的 AWS 受管政策和 AmazonS3 FullAccess 用於存取 Amazon S3 資源的 AWS 受管政策。然後選擇下一步

    注意

    確定此角色其中一個政策授予 Amazon S3 來源和目標的許可。您可能想要提供自己的政策來存取特定的 Amazon S3 資源。資料來源需要 s3:ListBuckets3:GetObject 許可。資料目標需要 s3:ListBuckets3:PutObjects3:DeleteObject 許可。如需為您的資源建立 Amazon S3 政策的詳細資訊,請參閱在政策中指定資源。如需 Amazon S3 政策範例,請參閱撰寫政IAM策:如何授與 Amazon S3 儲存貯體的存取權限。

    如果您計劃存取使用 SSE-加密的 Amazon S3 來源和目標KMS,請附加允許AWS Glue爬取器、任務和開發端點解密資料的政策。如需詳細資訊,請參閱使用具有 AWS KMS受管理金鑰的伺服器端加密保護資料 (SSE-KMS)

    以下是範例。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. 命名您的角色並新增描述 (選用),然後檢閱信任原則和權限。在角色名稱中輸入角色名稱,例如 AWSGlueServiceRoleDefault。建立名稱前置字串的角色,以AWSGlueServiceRole允許從主控台使用者傳遞至服務的角色。 AWS Glue提供的策略期望IAM服務角色開始AWSGlueServiceRole。否則,您必須新增原則,以允許使用者iam:PassRole擁有符合命名慣例的IAM角色權限。選擇建立角色

    注意

    在您使用角色建立筆記本時,系統會將該角色傳遞至互動式工作階段,以便在兩個位置皆可使用同一個角色。因此,iam:PassRole 許可需要成為角色政策的一部分。

    使用下列範例為角色建立新政策。用您的帳號與角色名稱取代範例中的值。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::090000000210:role/<role_name>" } ] }
  7. 將標籤新增至您的角色 (選用)。標籤是您可以新增至 AWS 資源的索引鍵值配對,以協助識別、組織或搜尋資源。然後,選擇 Create role (建立角色)。