Schritt 2: Erstellen einer IAM-Rolle für AWS Glue
Sie müssen Ihrer IAM-Rolle Berechtigungen erteilen, die AWS Glue beim Aufrufen von anderen Services in Ihrem Namen annehmen kann. Dies umfasst den Zugriff auf Amazon S3 für alle Quellen, Ziele, Skripts und temporären Verzeichnisse, die Sie mit AWS Glue verwenden. Die Berechtigung wird von Crawlern, Aufträgen Entwicklungsendpunkten benötigt.
Diese Berechtigungen stellen Sie mithilfe von AWS Identity and Access Management (IAM) zur Verfügung. Fügen Sie der IAM-Rolle, die Sie an AWS Glue übergeben, eine Richtlinie hinzu.
So erstellen Sie eine IAM-Rolle für AWS Glue
Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im linken Navigationsbereich Roles aus.
-
Wählen Sie Rolle erstellen aus.
-
Wählen Sie als Typ der vertrauenswürdigen Entität AWS-Service aus. Suchen und wählen Sie dann für Service oder Anwendungsfall AWS Glue aus. Wählen Sie Weiter aus.
-
Wählen Sie auf der Seite Berechtigungsrichtlinie anfügen die Richtlinien mit den erforderlichen Berechtigungen aus, z. B. die von AWS verwaltete Richtlinie
AWSGlueServiceRolefür allgemeine AWS Glue-Berechtigungen und die von AWS verwaltete Richtlinie AmazonS3FullAccess für den Zugriff auf Amazon-S3-Ressourcen. Wählen Sie anschließend Weiter.Anmerkung
Stellen Sie sicher, dass eine der Richtlinien in dieser Rolle Berechtigungen für Ihre Amazon-S3-Quellen und -Ziele erteilt. Sie können Ihre eigenen Richtlinien für den Zugriff auf bestimmte Amazon-S3-Ressourcen bereitstellen. Datenquellen erfordern die Berechtigungen
s3:ListBucketunds3:GetObject. Für Datenziele sind die Berechtigungens3:ListBucket,s3:PutObjectunds3:DeleteObjecterforderlich. Weitere Informationen zum Erstellen einer Amazon-S3-Richtlinie für Ihre Ressourcen finden Sie unter Festlegen von Ressourcen in einer Richtlinie. Eine Amazon-S3-Beispielrichtlinie finden Sie unter Schreiben von IAM-Richtlinien: So gewähren Sie Zugriff auf einen Amazon-S3-Bucket. Wenn Sie vorhaben, auf Amazon-S3-Quellen und -Ziele zuzugreifen, die mit SSE-KMS verschlüsselt sind, fügen Sie eine Richtlinie an, die AWS Glue-Crawlern, Aufträgen und Entwicklungsendpunkten erlaubt, die Daten zu entschlüsseln. Weitere Informationen hierzu finden Sie unter Daten schützen durch serverseitige Verschlüsselung mit AWS KMS-verwalteten Schlüsseln (SSE-KMS).
Im Folgenden wird ein Beispiel gezeigt.
-
Benennen Sie Ihre Rolle und fügen Sie eine Beschreibung hinzu (optional). Überprüfen Sie anschließend die Vertrauensrichtlinie und die Berechtigungen. Geben Sie in Role name (Rollenname) einen Namen für die Rolle ein, z. B.
AWSGlueServiceRoleDefault. Erstellen Sie die Rolle mit dem Namenspräfix mit dem StringAWSGlueServiceRole, damit die Rolle von Konsolenbenutzern an den Service übergeben werden kann. Die von AWS Glue bereitgestellten Richtlinien erwarten, dass IAM-Servicerollen mitAWSGlueServiceRolebeginnen. Andernfalls müssen Sie eine Richtlinie hinzufügen, um Ihren Benutzern dieiam:PassRole-Berechtigung zu erteilen, das IAM-Rollen Ihrer Benennungskonvention entsprechen können. Wählen Sie Rolle erstellen aus.Anmerkung
Wenn Sie ein Notebook mit einer Rolle erstellen, wird diese Rolle dann an interaktive Sitzungen übergeben, sodass dieselbe Rolle an beiden Stellen verwendet werden kann. Daher muss die
iam:PassRole-Berechtigung Teil der Richtlinie der Rolle sein.Erstellen Sie anhand des folgenden Beispiels eine neue Richtlinie für Ihre Rolle. Ersetzen Sie die Kontonummer durch Ihre eigene und den Rollennamen.
-
Fügen Sie Ihrer Regel Tags hinzu (optional). Tags sind Schlüssel-Wert-Paare, die Sie AWS-Ressourcen hinzufügen können, um Ressourcen zu identifizieren, zu organisieren oder zu suchen. Wählen Sie anschließend Create role (Rolle erstellen) aus.
