Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasikan izin IAM untuk Kualitas Data AWS Glue
Topik ini memberikan informasi untuk membantu Anda memahami tindakan dan sumber daya yang dapat Anda gunakan oleh administrator IAM dalam kebijakan AWS Identity and Access Management (IAM) untuk Kualitas Data AWS Glue. Ini juga mencakup contoh kebijakan IAM dengan izin minimum yang Anda perlukan untuk menggunakan Kualitas Data AWS Glue dengan Katalog Data AWS Glue.
Untuk informasi tambahan tentang keamanan di AWS Glue, lihat[Keamanan di AWS Glue](security.md).
## Izin IAM untuk Kualitas Data AWS Glue
Tabel berikut mencantumkan izin yang dibutuhkan pengguna untuk melakukan operasi Kualitas Data AWS Glue tertentu. Untuk menetapkan otorisasi halus untuk AWS Glue Data Quality, Anda dapat menentukan tindakan ini dalam elemen pernyataan `Action` kebijakan IAM.
**AWS Glue Data Tindakan Kualitas**
| Tindakan | Deskripsi | Jenis sumber daya |
| --- | --- | --- |
| glue:CreateDataQualityRuleset | Memberikan izin untuk membuat kumpulan aturan kualitas data. | ::dataQualityRuleset/ |
| glue:DeleteDataQualityRuleset | Memberikan izin untuk menghapus kumpulan aturan kualitas data. | ::dataQualityRuleset/ |
| glue:GetDataQualityRuleset | Memberikan izin untuk mengambil kumpulan aturan kualitas data. | ::dataQualityRuleset/ |
| glue:ListDataQualityRulesets | Memberikan izin untuk mengambil semua aturan kualitas data. | ::dataQualityRuleset/\* |
| glue:UpdateDataQualityRuleset | Memberikan izin untuk memperbarui kumpulan aturan kualitas data. | ::dataQualityRuleset/ |
| glue:GetDataQualityResult | Memberikan izin untuk mengambil hasil tugas kualitas data yang dijalankan. Tindakan IAM ini juga memberikan izin ke API berikut: [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/glue/latest/dg/data-quality-authorization.html) | ::dataQualityRuleset/ |
| glue:ListDataQualityResults | Memberikan izin untuk mengambil semua hasil tugas kualitas data yang dijalankan. | ::dataQualityRuleset/\* |
| glue:CancelDataQualityRuleRecommendationRun | Memberikan izin untuk menghentikan menjalankan tugas rekomendasi kualitas data yang sedang berlangsung. | ::dataQualityRuleset/\* |
| glue:GetDataQualityRuleRecommendationRun | Memberikan izin untuk mengambil tugas rekomendasi kualitas data yang dijalankan. | ::dataQualityRuleset/\* |
| glue:ListDataQualityRuleRecommendationRuns | Memberikan izin untuk mengambil semua tugas rekomendasi kualitas data yang berjalan. | ::dataQualityRuleset/\* |
| glue:StartDataQualityRuleRecommendationRun | Memberikan izin untuk memulai tugas rekomendasi kualitas data yang dijalankan. | ::dataQualityRuleset/\* |
| glue:CancelDataQualityRulesetEvaluationRun | Memberikan izin untuk menghentikan menjalankan tugas kualitas data yang sedang berlangsung. | ::dataQualityRuleset/\* |
| glue:GetDataQualityRulesetEvaluationRun | Memberikan izin untuk mengambil tugas kualitas data yang dijalankan. | ::dataQualityRuleset/\* |
| glue:ListDataQualityRulesetEvaluationRuns | Memberikan izin untuk mengambil semua tugas kualitas data yang berjalan. | ::dataQualityRuleset/\* |
| glue:StartDataQualityRulesetEvaluationRun | Memberikan izin untuk memulai menjalankan tugas kualitas data. | ::dataQualityRuleset/ |
| glue:PublishDataQuality | Memberikan izin untuk mempublikasikan hasil kualitas data. | ::dataQualityRuleset/ |
| glue:GetDataQualityModel | Memberikan izin untuk mengambil Model Kualitas Data. | ::dataQualityRuleset/, ::job/ |
| glue:GetDataQualityModelResult | Memberikan izin untuk mengambil Hasil Model Kualitas Data. | ::dataQualityRuleset/, ::job/ |
| glue:PutDataQualityStatisticAnnotation | Memberikan izin untuk menambahkan anotasi ke Statistik. Tindakan IAM ini juga memberikan izin ke API berikut: [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/glue/latest/dg/data-quality-authorization.html) | ::dataQualityRuleset/, ::job/ |
| glue:PutDataQualityProfileAnnotation | Memberikan izin untuk menempatkan anotasi ke semua Statistik dalam Profil. | ::dataQualityRuleset/, ::job/ |
## Penyiapan IAM diperlukan untuk evaluasi penjadwalan berjalan
### Izin IAM
Untuk menjalankan evaluasi Kualitas Data terjadwal, Anda harus menambahkan `IAM:PassRole` tindakan ke kebijakan izin.
**AWS EventBridge Izin yang diperlukan penjadwal**
| Tindakan | Deskripsi | Jenis sumber daya |
| --- | --- | --- |
| iam:PassRole | Memberikan izin kepada IAM untuk memungkinkan pengguna melewati peran yang disetujui. | ARN dari peran yang digunakan untuk memanggil StartDataQualityRulesetEvaluationRun |
Tanpa izin ini terjadi kesalahan berikut:
```
"errorCode": "AccessDenied"
"errorMessage": "User: arn:aws:sts::account_id:assumed-role/AWSGlueServiceRole is not
authorized to perform: iam:PassRole on resource: arn:aws:iam::account_id:role/service-role/AWSGlueServiceRole
because no identity-based policy allows the iam:PassRole action"
```
### Entitas tepercaya IAM
Layanan AWS Glue dan AWS EventBridge Scheduler harus terdaftar di entitas tepercaya untuk membuat dan menjalankan jadwal`StartDataQualityEvaluationRun`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "scheduler.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Contoh kebijakan IAM
Peran IAM untuk AWS Glue Data Quality memerlukan jenis izin berikut:
+ Izin untuk operasi AWS Glue Data Quality sehingga Anda bisa mendapatkan aturan kualitas data yang direkomendasikan dan menjalankan tugas kualitas data terhadap tabel di Katalog Data AWS Glue. Contoh kebijakan IAM di bagian ini mencakup izin minimum yang diperlukan untuk operasi AWS Glue Data Quality.
+ Izin yang memberikan akses ke tabel Katalog Data Anda dan data yang mendasarinya. Izin ini bervariasi tergantung pada kasus penggunaan Anda. Misalnya, untuk data yang Anda katalog di Amazon S3, izin harus menyertakan akses ke Amazon S3.
**catatan**
Anda harus mengonfigurasi izin Amazon S3 selain izin yang dijelaskan di bagian ini.
### Izin minimum untuk mendapatkan aturan kualitas data yang direkomendasikan
Kebijakan contoh ini mencakup izin yang Anda perlukan untuk menghasilkan aturan kualitas data yang direkomendasikan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGlueRuleRecommendationRunActions",
"Effect": "Allow",
"Action": [
"glue:GetDataQualityRuleRecommendationRun",
"glue:PublishDataQuality",
"glue:CreateDataQualityRuleset"
],
"Resource": "arn:aws:glue:{{us-east-1}}:{{111122223333}}:dataQualityRuleset/*"
},
{
"Sid": "AllowCatalogPermissions",
"Effect": "Allow",
"Action": [
"glue:GetPartitions",
"glue:GetTable"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowS3GetObjectToRunRuleRecommendationTask",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:::aws-glue-*"
},
{
"Sid": "AllowPublishingCloudwatchLogs",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
### Izin minimum untuk menjalankan tugas kualitas data
Kebijakan contoh ini mencakup izin yang Anda perlukan untuk menjalankan tugas evaluasi kualitas data.
Pernyataan kebijakan berikut bersifat opsional, tergantung pada kasus penggunaan Anda:
+ `AllowCloudWatchPutMetricDataToPublishTaskMetrics`- Diperlukan jika Anda ingin mempublikasikan metrik run kualitas data ke Amazon CloudWatch.
+ `AllowS3PutObjectToWriteTaskResults`- Diperlukan jika Anda ingin menulis hasil menjalankan kualitas data ke Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGlueGetDataQualityRuleset",
"Effect": "Allow",
"Action": [
"glue:GetDataQualityRuleset"
],
"Resource": "arn:aws:glue:{{us-east-1}}:{{111122223333}}:dataQualityRuleset/{{YOUR-RULESET-NAME}}"
},
{
"Sid": "AllowGlueRulesetEvaluationRunActions",
"Effect": "Allow",
"Action": [
"glue:GetDataQualityRulesetEvaluationRun",
"glue:PublishDataQuality"
],
"Resource": "arn:aws:glue:{{us-east-1}}:{{111122223333}}:dataQualityRuleset/*"
},
{
"Sid": "AllowCatalogPermissions",
"Effect": "Allow",
"Action": [
"glue:GetPartitions",
"glue:GetTable"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowS3GetObjectForRulesetEvaluationRun",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:::aws-glue-*"
},
{
"Sid": "AllowCloudWatchPutMetricDataToPublishTaskMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "Glue Data Quality"
}
}
},
{
"Sid": "AllowS3PutObjectToWriteTaskResults",
"Effect": "Allow",
"Action": [
"s3:PutObject*"
],
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
}
]
}
```
------
### Izin minimum untuk menjalankan pekerjaan ETL kualitas data
Kebijakan contoh ini mencakup izin yang Anda perlukan untuk menjalankan Job ETL kualitas data.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGluePublishDataQualityResult",
"Effect": "Allow",
"Action": [
"glue:PublishDataQuality"
],
"Resource": "arn:aws:glue:{{us-east-1}}:{{111122223333}}:dataQualityRuleset/*"
},
{
"Sid": "AllowGlueGetDataQualityResult",
"Effect": "Allow",
"Action": [
"glue:GetDataQualityResult"
],
"Resource": "arn:aws:glue:{{us-east-1}}:{{111122223333}}:dataQualityRuleset/*"
},
{
"Sid": "AllowGlueDataQualityStatisticAnnotation",
"Effect": "Allow",
"Action": [
"glue:PutDataQualityStatisticAnnotation"
],
"Resource": [
"arn:aws:glue:{{us-east-1}}:{{111122223333}}:dataQualityRuleset/*",
"arn:aws:glue:{{us-east-1}}:{{111122223333}}::job/{JobName}"
]
},
{
"Sid": "AllowGlueDataQualityProfileAnnotation",
"Effect": "Allow",
"Action": [
"glue:PutDataQualityProfileAnnotation"
],
"Resource": [
"arn:aws:glue:{{us-east-1}}:{{111122223333}}:dataQualityRuleset/*",
"arn:aws:glue:{{us-east-1}}:{{111122223333}}::job/{JobName}"
]
}
]
}
```
------