IAM-Richtlinien - AWS Glue
Richtlinien, welche die API-Vorgänge für die Erstellung und Verwendung von Verbindungen enthalten

IAM-Richtlinien

Richtlinien, welche die API-Vorgänge für die Erstellung und Verwendung von Verbindungen enthalten

Die folgende Beispielrichtlinie beschreibt die erforderlichen AWS-IAM-Berechtigungen für die Erstellung und Verwendung von Verbindungen. Wenn Sie eine neue Rolle erstellen, erstellen Sie eine Richtlinie, die Folgendes enthält:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:ListConnectionTypes",
        "glue:DescribeConnectionType",
        "glue:RefreshOAuth2Tokens",
        "glue:ListEntities",
        "glue:DescribeEntity"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue"
      ],
      "Resource": "*"
    }
  ]
}

Die Rolle muss Zugriff auf alle vom Auftrag verwendeten Ressourcen gewähren, z. B. Amazon S3. Wenn Sie die oben genannte Methode nicht verwenden möchten, verwenden Sie alternativ die folgenden verwalteten IAM-Richtlinien:

  • AWSGlueServiceRole – Gewährt den Zugriff auf Ressourcen, die verschiedene AWS Glue-Prozesse benötigen, um in Ihrem Namen ausgeführt zu werden. Diese Ressourcen beinhalten u. a. AWS Glue, Amazon S3, IAM, CloudWatch Logs und Amazon EC2. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben AWS Glue-Prozesse die erforderlichen Berechtigungen. Diese Richtlinie wird typischerweise mit Rollen verknüpft, die bei der Definition von Crawlern, Aufträgen und Entwicklungsendpunkten angegeben werden.

  • AWSGlueConsoleFullAccess – Gewährt vollen Zugriff auf AWS Glue-Ressourcen, wenn eine Identität, an welche die Richtlinie angehängt ist, die AWS-Managementkonsole verwendet. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben Benutzer alle Konsolenfunktionalitäten. Diese Richtlinie wird typischerweise mit Benutzern der AWS Glue-Konsole verknüpft.

  • SecretsManagerReadWrite – Bietet Lese-/Schreibzugriff auf AWS Secrets Manager über die AWS Management Console. Hinweis: Dies schließt IAM-Aktionen aus. Kombinieren Sie es daher mit IAMFullAccess, wenn eine Rotationskonfiguration erforderlich ist.

Für die Konfiguration von VPC benötigte IAM-Richtlinien/-Berechtigungen

Die folgenden IAM-Berechtigungen sind erforderlich, wenn Sie die VPC-Verbindung zum Erstellen einer AWS Glue-Verbindung verwenden. Weitere Informationen finden Sie unter Erstellen einer IAM-Richtlinie für AWS Glue.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DeleteNetworkInterface",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}