Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Fase 3: Collegamento di una policy agli utenti o ai gruppi che accedono a AWS Glue L'amministratore deve assegnare le autorizzazioni a qualsiasi utente, gruppo o ruolo utilizzando la AWS Glue console o AWS Command Line Interface ()AWS CLI. Puoi fornire queste autorizzazioni usando AWS Identity and Access Management (IAM), tramite le policy. Questa fase descrive l'assegnazione di autorizzazioni a utenti o gruppi. Una volta completata questa fase, all'utente o al gruppo sono collegate le policy seguenti: + La politica AWS gestita `AWSGlueConsoleFullAccess` o la politica personalizzata **GlueConsoleAccessPolicy** + **`AWSGlueConsoleSageMakerNotebookFullAccess`** + **`CloudWatchLogsReadOnlyAccess`** + **`AWSCloudFormationReadOnlyAccess`** + **`AmazonAthenaFullAccess`** **Per collegare una policy inline e incorporarla in un utente o in un gruppo** È possibile allegare una policy AWS gestita o una policy in linea a un utente o gruppo per accedere alla AWS Glue console. Alcune delle risorse specificate in questa politica si riferiscono a nomi predefiniti utilizzati dai AWS Glue bucket Amazon S3, dagli script ETL di Amazon S3 CloudWatch , dai log e dalle risorse Amazon EC2. CloudFormation Per semplicità, AWS Glue scrive alcuni oggetti Amazon S3 nei bucket nell'account con il prefisso `aws-glue-*` per impostazione predefinita. **Nota** Puoi saltare questo passaggio se utilizzi la policy gestita. AWS **`AWSGlueConsoleFullAccess`** **Importante** AWS Glue richiede l'autorizzazione per assumere un ruolo usato per eseguire il lavoro per tuo conto. **A tale scopo, aggiungi le autorizzazioni `iam:PassRole` agli utenti o ai gruppi AWS Glue.** Questa policy concede l'autorizzazione ai ruoli che iniziano con `AWSGlueServiceRole` per i ruoli di servizio AWS Glue e `AWSGlueServiceNotebookRole` per i ruoli necessari al momento della creazione di un server notebook. Puoi anche creare una policy per le autorizzazioni `iam:PassRole` che segue la convenzione per la denominazione. In base alle best practice di sicurezza, si consiglia di limitare l'accesso rafforzando le policy per limitare ulteriormente l'accesso ai bucket Amazon CloudWatch e ai gruppi di log di Amazon S3. Per un esempio di policy Amazon S3, consulta la pagina relativa alla [scrittura di policy IAM per concedere l'accesso a un bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/). In questa fase, crei una policy simile a `AWSGlueConsoleFullAccess`. Puoi trovare la versione più recente di `AWSGlueConsoleFullAccess` nella console IAM. 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Nel pannello di navigazione, scegli **Utenti** o **Gruppi di utenti**. 1. Nell'elenco, scegli il nome dell'utente o del gruppo in cui integrare una policy. 1. Scegliere la scheda **Permissions (Autorizzazioni)** e, se necessario, espandere la sezione **Permissions policies (Policy autorizzazioni)**. 1. Scegli il collegamento **Add Inline policy** (Aggiungi policy inline). 1. Nella schermata **Create Policy** (Crea policy), passa alla scheda per modificare JSON. Crea un documento di policy con le seguenti istruzioni JSON, quindi scegli **Review policy** (Verifica policy). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:*", "redshift:DescribeClusters", "redshift:DescribeClusterSubnetGroups", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:DescribeVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeInstances", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBSubnetGroups", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "dynamodb:ListTables", "kms:ListAliases", "kms:DescribeKey", "cloudwatch:GetMetricData", "cloudwatch:ListDashboards" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*/*aws-glue-*/*", "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:/aws-glue/*" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/aws-glue*/*" }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:image/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceNotebookRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/service-role/AWSGlueServiceRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] } ``` ------ La tabella seguente descrive le autorizzazioni concesse dalla policy. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/glue/latest/dg/attach-policy-iam-user.html) 1. Nella schermata **Revisione della policy**, inserisci un nome per la policy, ad esempio **GlueConsoleAccessPolicy**. Al termine, scegliere **Create policy (Crea policy)**. Assicurati che non siano presenti errori in una casella rossa nella parte superiore dello schermo. Correggi gli eventuali errori segnalati. **Nota** Se **Use autoformatting** (Usa formattazione automatica) è selezionato, la policy viene riformattata ogni volta che pari una policy oppure scegli **Validate Policy** (Convalida policy). **Per allegare la politica AWSGlue ConsoleFullAccess gestita** Puoi collegare la policy `AWSGlueConsoleFullAccess` per fornire le autorizzazioni necessarie all'utente della console AWS Glue. **Nota** Puoi ignorare questa fase se hai creato una policy personalizzata per l'accesso alla console AWS Glue. 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Nel riquadro di navigazione, scegli **Policy**. 1. Nell'elenco delle politiche, seleziona la casella di controllo accanto a **AWSGlueConsoleFullAccess**. Puoi utilizzare il menu **Filtro** e la casella di ricerca per filtrare l'elenco di policy. 1. Scegli **Operazioni di policy**, quindi **Collega**. 1. Sceglie l'utente a cui collegare la policy. Puoi usare il menu **Filtro** e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente a cui collegare la policy, scegli **Attach policy** (Collega policy). **Per collegare la policy gestita `AWSGlueConsoleSageMakerNotebookFullAccess`.** Puoi allegare la `AWSGlueConsoleSageMakerNotebookFullAccess` policy a un utente per gestire i notebook SageMaker AI creati sulla console. AWS Glue Oltre alle altre autorizzazioni richieste per la AWS Glue console, questa politica consente l'accesso alle risorse necessarie per gestire i notebook AI. SageMaker 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Nel riquadro di navigazione, scegli **Policy**. 1. Nell'elenco delle politiche, seleziona la casella di controllo accanto a **AWSGlueConsoleSageMakerNotebookFullAccess**. Puoi utilizzare il menu **Filtro** e la casella di ricerca per filtrare l'elenco di policy. 1. Scegli **Operazioni di policy**, quindi **Collega**. 1. Sceglie l'utente a cui collegare la policy. Puoi usare il menu **Filtro** e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente a cui collegare la policy, scegli **Attach policy** (Collega policy). **Per allegare la politica CloudWatchLogsReadOnlyAccess gestita** È possibile allegare la **CloudWatchLogsReadOnlyAccess**policy a un utente per visualizzare i log creati da AWS Glue nella console CloudWatch Logs. 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Nel riquadro di navigazione, scegli **Policy**. 1. Nell'elenco delle politiche, seleziona la casella di controllo accanto a **CloudWatchLogsReadOnlyAccess**. Puoi utilizzare il menu **Filtro** e la casella di ricerca per filtrare l'elenco di policy. 1. Scegli **Operazioni di policy**, quindi **Collega**. 1. Sceglie l'utente a cui collegare la policy. Puoi usare il menu **Filtro** e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente a cui collegare la policy, scegli **Attach policy** (Collega policy). **Per allegare la politica AWSCloud FormationReadOnlyAccess gestita** È possibile allegare la **AWSCloudFormationReadOnlyAccess**policy a un utente per visualizzare gli CloudFormation stack utilizzati AWS Glue sulla CloudFormation console. 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Nel riquadro di navigazione, scegli **Policy**. 1. Nell'elenco delle politiche, seleziona la casella di controllo accanto a **AWSCloudFormationReadOnlyAccess**. Puoi utilizzare il menu **Filtro** e la casella di ricerca per filtrare l'elenco di policy. 1. Scegli **Operazioni di policy**, quindi **Collega**. 1. Sceglie l'utente a cui collegare la policy. Puoi usare il menu **Filtro** e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente a cui collegare la policy, scegli **Attach policy** (Collega policy). **Per allegare la politica AmazonAthenaFullAccess gestita** Puoi allegare la **AmazonAthenaFullAccess**policy a un utente per visualizzare i dati di Amazon S3 nella console Athena. 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Nel riquadro di navigazione, scegli **Policy**. 1. Nell'elenco delle politiche, seleziona la casella di controllo accanto a **AmazonAthenaFullAccess**. Puoi utilizzare il menu **Filtro** e la casella di ricerca per filtrare l'elenco di policy. 1. Scegli **Operazioni di policy**, quindi **Collega**. 1. Sceglie l'utente a cui collegare la policy. Puoi usare il menu **Filtro** e la casella di ricerca per filtrare l'elenco delle entità principali. Dopo aver scelto l'utente a cui collegare la policy, scegli **Attach policy** (Collega policy).