Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Langkah 3: Lampirkan kebijakan ke pengguna atau grup yang mengakses AWS Glue Administrator harus menetapkan izin untuk setiap pengguna, grup, atau peran menggunakan AWS Glue konsol atau AWS Command Line Interface ()AWS CLI. Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM), melalui kebijakan. Langkah ini menjelaskan penetapan izin kepada pengguna atau grup. Ketika Anda menyelesaikan langkah ini, pengguna atau grup Anda memiliki kebijakan berikut yang dilampirkan: + Kebijakan AWS terkelola `AWSGlueConsoleFullAccess` atau kebijakan kustom **GlueConsoleAccessPolicy** + **`AWSGlueConsoleSageMakerNotebookFullAccess`** + **`CloudWatchLogsReadOnlyAccess`** + **`AWSCloudFormationReadOnlyAccess`** + **`AmazonAthenaFullAccess`** **Untuk melampirkan kebijakan inline dan menyematkannya di pengguna atau grup** Anda dapat melampirkan kebijakan AWS terkelola atau kebijakan sebaris ke pengguna atau grup untuk mengakses AWS Glue konsol. Beberapa sumber daya yang ditentukan dalam kebijakan ini merujuk ke nama default yang digunakan oleh AWS Glue bucket Amazon S3, skrip ETL Amazon S3, Log CloudWatch , dan sumber daya Amazon EC2. CloudFormation Sederhananya, AWS Glue menulis beberapa objek Amazon S3 ke dalam bucket di akun Anda yang mempunyai prefiks dengan `aws-glue-*` secara default. **catatan** Anda dapat melewati langkah ini jika menggunakan kebijakan AWS terkelola **`AWSGlueConsoleFullAccess`**. **penting** AWS Glue memerlukan izin untuk mengambil peran yang digunakan untuk melakukan tugas atas nama Anda. **Untuk mencapai hal ini, Anda menambahkan `iam:PassRole` izin ke AWS Glue pengguna atau grup Anda.** Kebijakan ini memberikan izin untuk peran yang dimulai dengan `AWSGlueServiceRole` untuk peran layanan AWS Glue, dan `AWSGlueServiceNotebookRole` untuk peran yang diperlukan saat Anda membuat server notebook. Anda juga dapat membuat kebijakan Anda sendiri untuk izin `iam:PassRole` yang mengikuti konvensi penamaan Anda. Sesuai praktik terbaik keamanan, disarankan untuk membatasi akses dengan memperketat kebijakan untuk lebih membatasi akses ke bucket dan grup log Amazon S3. Amazon CloudWatch Untuk contoh kebijakan Amazon S3, lihat [Menulis Kebijakan IAM: Cara Memberikan Akses ke Bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/). Pada langkah ini, Anda membuat sebuah kebijakan yang mirip dengan `AWSGlueConsoleFullAccess`. Anda dapat menemukan versi terbaru `AWSGlueConsoleFullAccess` pada konsol IAM. 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi, pilih **Pengguna** atau **Grup pengguna**. 1. Dalam daftar, pilih nama pengguna atau grup untuk menyematkan kebijakan. 1. Pilih tab **Izin** dan, jika diperlukan, perluas bagian **Kebijakan izin**. 1. Pilih tautan **Tambahkan kebijakan inline**. 1. Pada layar **Buat kebijakan**, navigasikan ke tab untuk mengedit JSON. Buat sebuah dokumen kebijakan dengan pernyataan JSON berikut, dan kemudian pilih **Tinjau kebijakan**. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:*", "redshift:DescribeClusters", "redshift:DescribeClusterSubnetGroups", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:DescribeVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeInstances", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBSubnetGroups", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "dynamodb:ListTables", "kms:ListAliases", "kms:DescribeKey", "cloudwatch:GetMetricData", "cloudwatch:ListDashboards" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*/*aws-glue-*/*", "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:/aws-glue/*" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/aws-glue*/*" }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:image/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceNotebookRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/service-role/AWSGlueServiceRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] } ``` ------ Tabel berikut menjelaskan izin yang diberikan oleh kebijakan ini. [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/glue/latest/dg/attach-policy-iam-user.html) 1. Pada layar **Kebijakan tinjauan**, masukkan nama untuk kebijakan tersebut, misalnya **GlueConsoleAccessPolicy**. Jika Anda puas dengan kebijakan ini, pilih **Buat kebijakan**. Pastikan bahwa tidak ada kesalahan yang muncul di kotak merah yang ada di bagian atas layar. Perbaiki apapun yang dilaporkan. **catatan** Jika **Gunakan pemformatan otomatis** dipilih, maka kebijakan akan diformat ulang setiap kali Anda membuka kebijakan atau memilih **Validasi kebijakan**. **Untuk melampirkan kebijakan AWSGlue ConsoleFullAccess terkelola** Anda dapat melampirkan `AWSGlueConsoleFullAccess` kebijakan untuk memberikan izin yang diperlukan oleh pengguna AWS Glue konsol. **catatan** Anda dapat melewati langkah ini jika Anda sudah membuat kebijakan Anda sendiri untuk akses konsol AWS Glue. 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi, pilih **Kebijakan**. 1. Dalam daftar kebijakan, pilih kotak centang di sebelah **AWSGlueConsoleFullAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan. 1. Pilih **Tindakan kebijakan**, lalu pilih **Lampirkan**. 1. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih **Lampirkan kebijakan**. **Untuk melampirkan kebijakan `AWSGlueConsoleSageMakerNotebookFullAccess` terkelola** Anda dapat melampirkan `AWSGlueConsoleSageMakerNotebookFullAccess` kebijakan ke pengguna untuk mengelola notebook SageMaker AI yang dibuat di AWS Glue konsol. Selain izin AWS Glue konsol lain yang diperlukan, kebijakan ini memberikan akses ke sumber daya yang diperlukan untuk mengelola notebook SageMaker AI. 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi, pilih **Kebijakan**. 1. Dalam daftar kebijakan, pilih kotak centang di sebelah **AWSGlueConsoleSageMakerNotebookFullAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan. 1. Pilih **Tindakan kebijakan**, lalu pilih **Lampirkan**. 1. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih **Lampirkan kebijakan**. **Untuk melampirkan kebijakan CloudWatchLogsReadOnlyAccess terkelola** Anda dapat melampirkan **CloudWatchLogsReadOnlyAccess**kebijakan ke pengguna untuk melihat log yang dibuat oleh AWS Glue pada konsol CloudWatch Log. 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi, pilih **Kebijakan**. 1. Dalam daftar kebijakan, pilih kotak centang di sebelah **CloudWatchLogsReadOnlyAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan. 1. Pilih **Tindakan kebijakan**, lalu pilih **Lampirkan**. 1. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih **Lampirkan kebijakan**. **Untuk melampirkan kebijakan AWSCloud FormationReadOnlyAccess terkelola** Anda dapat melampirkan **AWSCloudFormationReadOnlyAccess**kebijakan ke pengguna untuk melihat CloudFormation tumpukan yang digunakan AWS Glue di CloudFormation konsol. 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi, pilih **Kebijakan**. 1. Dalam daftar kebijakan, pilih kotak centang di sebelah **AWSCloudFormationReadOnlyAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan. 1. Pilih **Tindakan kebijakan**, lalu pilih **Lampirkan**. 1. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih **Lampirkan kebijakan**. **Untuk melampirkan kebijakan AmazonAthenaFullAccess terkelola** Anda dapat melampirkan **AmazonAthenaFullAccess**kebijakan ke pengguna untuk melihat data Amazon S3 di konsol Athena. 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi, pilih **Kebijakan**. 1. Dalam daftar kebijakan, pilih kotak centang di sebelah **AmazonAthenaFullAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan. 1. Pilih **Tindakan kebijakan**, lalu pilih **Lampirkan**. 1. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih **Lampirkan kebijakan**.