Einrichten von IAM-Berechtigungen für AWS Glue - AWS Glue
Nächste Schritte

Einrichten von IAM-Berechtigungen für AWS Glue

Die Anweisungen in diesem Thema helfen Ihnen beim schnellen Einrichten von AWS Identity and Access Management (IAM-)Berechtigungen für AWS Glue. Sie werden folgende Aufgaben erledigen:

  • Gewähren Sie Ihren IAM-Identitäten Zugriff auf AWS Glue-Ressourcen.

  • Erstellen Sie eine Servicerolle für das Ausführen von Aufträgen, den Zugriff auf Daten und das Ausführen von AWS Glue-Data-Quality-Aufgaben.

Ausführliche Anweisungen, die Sie zum Anpassen von IAM-Berechtigungen für AWS Glue verwenden können, finden Sie unter Konfigurieren von IAM-Berechtigungen für AWS Glue.

So richten Sie IAM-Berechtigungen für AWS Glue in der AWS Management Console ein

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Glue-Konsole unter https://console.aws.amazon.com/glue/.

  2. Wählen Sie Getting started (Erste Schritte).

  3. Wählen Sie unter Vorbereiten Ihres Kontos für AWS Glue die Option IAM-Berechtigungen einrichten aus.

  4. Wählen Sie die IAM-Identitäten (Rollen oder Benutzer) aus, denen Sie AWS Glue-Berechtigungen gewähren möchten. AWS Glue fügt diesen Identitäten die von AWSGlueConsoleFullAccess verwaltete Richtlinie hinzu. Sie können diesen Schritt überspringen, wenn Sie diese Berechtigungen manuell festlegen möchten oder nur eine Standardeinstellung für die Servicerolle festlegen möchten.

  5. Wählen Sie Weiter aus.

  6. Wählen Sie die Amazon-S3-Zugriffsebene, die Ihre Rollen und Benutzer benötigen. Die Optionen, die Sie in diesem Schritt auswählen, werden auf alle von Ihnen ausgewählten Identitäten angewendet.

    1. Wählen Sie unter S3-Standorte auswählen die Amazon-S3-Standorte aus, auf die Sie Zugriff gewähren möchten.

    2. Wählen Sie als Nächstes aus, ob Ihre Identitäten nur Lesezugriff (empfohlen) oder Lese- und Schreibzugriff auf die zuvor ausgewählten Speicherorte haben sollen. AWS Glue fügt Ihren Identitäten Berechtigungsrichtlinien hinzu, basierend auf der Kombination aus Standorten und Lese- oder Schreibberechtigungen, die Sie auswählen.

      In der folgende Tabelle sind die Berechtigungen aufgeführt, die AWS Glue für den Zugriff auf Amazon S3 anfügt.

      Wenn Sie auswählen ... fügt AWS Glue an ...
      Keine Änderung Keine Berechtigungen. AWS Glue nimmt keine Änderungen an den Berechtigungen Ihrer Identität vor.
      Zugriff auf bestimmte Amazon-S3-Standorte gewähren (schreibgeschützt)

      Die vom Kunden verwaltete Richtlinie AWSGlueConsole-S3-read-only-policy gewährt Zugriff auf bestimmte Amazon-S3-Standorte mit Leseberechtigungen.

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket1/*",
        "arn:aws:s3:::amzn-s3-demo-bucket2/*",
        "arn:aws:s3:::amzn-s3-demo-bucket3",
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "0000000000"
        }
      }
    }
  ]
}
      Zugriff auf bestimmte Amazon-S3-Standorte gewähren (Lese- und Schreibzugriff)

      Die AWSGlueConsole-S3-read-and-write-policy gewährt Zugriff auf bestimmte Amazon-S3-Standorte mit Lese- und Schreibzugriff.

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::aes-siem-00000000000-log/*",
        "arn:aws:s3:::aes-siem-00000000000-snapshot/*",
        "arn:aws:s3:::aes-siem-00000000000-log",
        "arn:aws:s3:::aes-siem-00000000000-snapshot"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "00000000000"
        }
      }
    }
  ]
}

  7. Wählen Sie Weiter aus.

  8. Wählen Sie eine Standard-AWS Glue-Servicerolle für Ihr Konto. Eine Servicerolle ist eine IAM-Rolle, die AWS Glue verwendet, um in Ihrem Namen auf Ressourcen in anderen AWS-Services zuzugreifen. Weitere Informationen finden Sie unter Servicerollen für AWS Glue.

    • Wenn Sie die AWS Glue-Standard-Servicerolle auswählen, erstellt AWS Glue in Ihrem AWS-Konto eine neue IAM-Rolle mit dem Namen AWSGlueServiceRole, an die die folgenden verwalteten Richtlinien angefügt sind. Wenn Ihr Konto bereits über eine IAM-Rolle mit dem Namen AWSGlueServiceRole verfügt, fügt AWS Glue diese Richtlinien der vorhandenen Rolle hinzu.

      • AWSGlueServiceRole: Diese verwaltete Richtlinie ist für erforderlich, damit AWS Glue in Ihrem Namen auf Ressourcen zugreifen und diese verwalten kann. Sie ermöglicht AWS Glue das Erstellen, Aktualisieren und Löschen verschiedener Ressourcen wie AWS Glue-Aufträge, Crawler und Verbindungen. Diese Richtlinie gewährt AWS Glue auch Berechtigungen für den Zugriff auf Amazon CloudWatch-Protokolle zu Protokollierungszwecken. Für den Einstieg empfehlen wir, diese Richtlinie zu verwenden, um sich mit der Verwendung von AWS Glue vertraut zu machen. Wenn Sie sich mit AWS Glue vertraut gemacht haben, können Sie Richtlinien erstellen, mit denen Sie den Zugriff auf Ressourcen nach Bedarf anpassen können.

      • AWSGlueConsoleFullAccess: Diese verwaltete Richtlinie gewährt vollen Zugriff auf den AWS Glue-Dienst über die AWS Management Console. Diese Richtlinie gewährt Berechtigungen zur Ausführung beliebiger Vorgänge innerhalb von AWS Glue, sodass Sie nach Bedarf beliebige AWS Glue-Ressourcen erstellen, ändern und löschen können. Es ist jedoch wichtig zu beachten, dass diese Richtlinie keine Berechtigungen für den Zugriff auf die zugrunde liegenden Datenspeicher oder andere AWS-Dienste gewährt, die möglicherweise am ETL-Prozess beteiligt sind. Aufgrund des breiten Umfangs der durch die AWSGlueConsoleFullAccess-Richtlinie gewährten Berechtigungen sollte sie mit Vorsicht und unter Beachtung des Prinzips geringster Berechtigungen vergeben werden. Es wird allgemein empfohlen, wann immer möglich detailliertere Richtlinien zu erstellen und anzuwenden, die auf bestimmte Anwendungsfälle und Anforderungen zugeschnitten sind.

      • AWSGlueConsole-S3-Read-Only-Policy: Diese Richtlinie ermöglicht es AWS Glue, Daten aus bestimmten Amazon-S3-Buckets zu lesen, gewährt jedoch keine Berechtigungen zum Schreiben oder Ändern von Daten in Amazon S3.

        AWSGlueConsole-S3-Read-and-Write: Diese Richtlinie ermöglicht es AWS Glue, im Rahmen des ETL-Prozesses Daten aus bestimmten Amazon-S3-Buckets zu lesen und in diese zu schreiben.

    • Wenn Sie eine vorhandene IAM-Rolle auswählen, legt AWS Glue die Rolle als Standard fest, fügt ihr jedoch keine AWSGlueServiceRole-Berechtigungen hinzu. Stellen Sie sicher, dass Sie die Rolle zur Verwendung als Servicerolle für AWS Glue konfiguriert haben. Weitere Informationen erhalten Sie unter Schritt 1: Erstellen Sie eine IAM-Richtlinie für den AWS Glue-Service und Schritt 2: Erstellen einer IAM-Rolle für AWS Glue.

  9. Wählen Sie Weiter aus.

  10. Überprüfen Sie abschließend die von Ihnen ausgewählten Berechtigungen und wählen Sie dann Änderungen übernehmen aus. Wenn Sie die Änderungen anwenden, fügt AWS Glue den von Ihnen ausgewählten Identitäten IAM-Berechtigungen hinzu. Sie können die neuen Berechtigungen in der IAM-Konsole unter https://console.aws.amazon.com/iam/ anzeigen oder ändern.

Sie haben jetzt die Einrichtung der IAM-Mindestberechtigungen für AWS Glue abgeschlossen. In einer Produktionsumgebung empfehlen wir Ihnen, sich mit Sicherheit in AWS Glue und Identity and Access Management für AWS Glue vertraut zu machen, um die Sicherung von AWS-Ressourcen für Ihren Anwendungsfall zu vereinfachen.

Nächste Schritte

Nachdem Sie nun die IAM-Berechtigungen eingerichtet haben, können Sie die folgenden Themen erkunden, um mit der Verwendung von AWS Glue zu beginnen: