Configuration des autorisations IAM pour AWS Glue - AWS Glue
Étapes suivantes

Configuration des autorisations IAM pour AWS Glue

Les instructions de cette rubrique vous aident à configurer rapidement des autorisations AWS Identity and Access Management (IAM) pour AWS Glue. Vous réaliserez les tâches suivantes :

  • Accorder à vos identités IAM l'accès aux ressources AWS Glue.

  • Créer une fonction du service pour exécuter des tâches, accéder aux données et exécuter des tâches de la qualité des données de AWS Glue.

Pour obtenir des instructions détaillées que vous pouvez utiliser pour personnaliser les autorisations IAM pour AWS Glue, consultez Configuration des autorisations IAM pour AWS Glue.

Pour configurer des autorisations IAM pour AWS Glue dans la AWS Management Console

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Glue à l’adresse https://console.aws.amazon.com/glue/.

  2. Choisissez Mise en route.

  3. Sous Préparer votre compte pour AWS Glue, choisissez Configurer les autorisations IAM.

  4. Choisissez les identités IAM (rôles ou utilisateurs) auxquelles vous souhaitez accorder des autorisations AWS Glue. AWS Glue attache la politique gérée AWSGlueConsoleFullAccess à ces identités. Vous pouvez ignorer cette étape si vous souhaitez définir ces autorisations manuellement ou uniquement définir une fonction du service par défaut.

  5. Choisissez Suivant.

  6. Choisissez le niveau d'accès Amazon S3 dont vos rôles et utilisateurs ont besoin. Les options que vous choisissez à cette étape sont appliquées à toutes les identités que vous avez sélectionnées.

    1. Sous Choisir les emplacements S3, choisissez les emplacements Amazon S3 auxquels vous souhaitez accorder l'accès.

    2. Ensuite, indiquez si vos identités doivent avoir un accès Lecture seule (recommandé) ou Lecture et écriture aux emplacements que vous avez sélectionnés précédemment. AWS Glue ajoute des politiques d'autorisation à vos identités en fonction de la combinaison des emplacements et des autorisations de lecture ou d'écriture que vous sélectionnez.

      Le tableau suivant indique les autorisations attachées par AWS Glue pour l'accès à Amazon S3.

      Si vous choisissez… AWS Glue attache…
      Pas de modification Aucune autorisation. AWS Glue n'apportera aucune modification aux autorisations de votre identité.
      Accorder l'accès à des emplacements Amazon S3 spécifiques (lecture seule)

      La politique gérée par le client, AWSGlueConsole-S3-read-only-policy, accorde l’accès à des emplacements Amazon S3 spécifiques avec des autorisations en lecture seule.

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket1/*",
        "arn:aws:s3:::amzn-s3-demo-bucket2/*",
        "arn:aws:s3:::amzn-s3-demo-bucket3",
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "0000000000"
        }
      }
    }
  ]
}
      Accorder l'accès à des emplacements Amazon S3 spécifiques (lecture et écriture)

      La AWSGlueConsole-S3-read-and-write-policy accorde l’accès à des emplacements Amazon S3 spécifiques avec des autorisations en lecture et en écriture.

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::aes-siem-00000000000-log/*",
        "arn:aws:s3:::aes-siem-00000000000-snapshot/*",
        "arn:aws:s3:::aes-siem-00000000000-log",
        "arn:aws:s3:::aes-siem-00000000000-snapshot"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "00000000000"
        }
      }
    }
  ]
}

  7. Choisissez Suivant.

  8. Choisissez une fonction du service AWS Glue par défaut pour votre compte. Une fonction du service est un rôle IAM qu'AWS Glue utilise pour accéder à des ressources dans d'autres services AWS en votre nom. Pour plus d’informations, consultez Fonctions du service pour AWS Glue.

    • Lorsque vous choisissez la fonction du service AWS Glue standard, AWS Glue crée un nouveau rôle IAM dans votre Compte AWS nommé AWSGlueServiceRole avec les politiques gérées attachées suivantes. Si votre compte possède déjà un rôle IAM nommé AWSGlueServiceRole, AWS Glue attache ces politiques au rôle existant.

      • AWSGlueServiceRole : cette politique gérée est requise pour qu’AWS Glue accède aux ressources et les gère en votre nom. Elle permet à AWS Glue de créer, de mettre à jour et de supprimer diverses ressources telles que des tâches AWS Glue, des robots et des connexions. Cette politique accorde également des autorisations pour qu’AWS Glue accède aux journaux Amazon CloudWatch à des fins de journalisation. Pour commencer, nous vous recommandons d’utiliser cette politique pour savoir comment utiliser AWS Glue. Au fur et à mesure que vous vous habituez à AWS Glue, vous pourrez créer des politiques qui vous permettront d’optimiser l’accès aux ressources selon vos besoins.

      • AWSGlueConsoleFullAccess : cette politique gérée accorde un accès complet au service AWS Glue via la AWS Management Console. Cette politique accorde des autorisations pour effectuer n’importe quelle opération au sein d’AWS Glue, vous permettant de créer, de modifier et de supprimer n’importe quelle ressource AWS Glue selon vos besoins. Cependant, il est important de noter que cette politique n’accorde pas d’autorisations pour accéder aux entrepôts de données sous-jacents ou à d’autres services AWS susceptibles d’être impliqués dans le processus ETL. En raison de la large portée des autorisations accordées par la politique AWSGlueConsoleFullAccess, celles-ci doivent être attribuées avec prudence et en respectant le principe du moindre privilège. Il est généralement recommandé de créer et d’utiliser des politiques plus détaillées adaptées à des cas d’utilisation et à des exigences spécifiques dans la mesure du possible.

      • AWSGlueConsole-S3-read-only-policy : cette politique permet à AWS Glue de lire des données à partir de compartiments Amazon S3 spécifiés, mais elle n’accorde pas l’autorisation d’écrire ou de modifier des données dans Amazon S3.

        AWSGlueConsole-S3-read-and-write : cette politique permet à AWS Glue de lire et d’écrire des données dans des compartiments Amazon S3 spécifiés dans le cadre du processus ETL.

    • Lorsque vous choisissez un rôle IAM existant, AWS Glue définit le rôle par défaut, mais n’y ajoute aucune autorisation AWSGlueServiceRole. Assurez-vous d'avoir configuré le rôle à utiliser en tant que fonction du service pour AWS Glue. Pour plus d’informations, consultez Étape 1 : créer une politique IAM pour le service AWS Glue et Étape 2 : créer un rôle IAM pour AWS Glue.

  9. Choisissez Suivant.

  10. Enfin, passez en revue les autorisations que vous avez sélectionnées, puis choisissez Appliquer les modifications. Lorsque vous appliquez les modifications, AWS Glue ajoute des autorisations IAM aux identités que vous avez sélectionnées. Vous pouvez consulter ou modifier les nouvelles autorisations dans la console IAM à l'adresse suivante : https://console.aws.amazon.com/iam/.

Vous avez maintenant terminé la configuration des autorisations IAM minimales pour AWS Glue. Dans un environnement de production, nous vous recommandons de vous familiariser avec Sécurité dans AWS Glue et Gestion des identités et des accès pour AWS Glue pour vous aider à sécuriser les ressources AWS pour votre cas d'utilisation.

Étapes suivantes

Maintenant que les autorisations IAM sont configurées, vous pouvez explorer les rubriques suivantes pour commencer à utiliser AWS Glue :