Prerequisiti per la generazione delle statistiche delle colonne - AWS Glue

Prerequisiti per la generazione delle statistiche delle colonne

Per generare o aggiornare le statistiche delle colonne, l'attività di generazione delle statistiche assume un ruolo (IAM) AWS Identity and Access Management. In base alle autorizzazioni concesse al ruolo, l'attività di generazione delle statistiche delle colonne può leggere i dati dal datastore di Amazon S3.

Quando si configura l'attività di generazione delle statistiche delle colonne, AWS Glue consente di creare un ruolo che include la policy gestita AWSGlueServiceRole di AWS e la policy inline richiesta per l'origine dati specificata.

Se si specifica un ruolo esistente per la generazione di statistiche delle colonne, bisogna assicurarsi che includa la policy AWSGlueServiceRole o equivalente (o una versione ridotta di questa policy), oltre alle policy inline richieste. Per creare un nuovo ruolo IAM, attenersi alla seguente procedura:

Nota

Per generare statistiche per le tabelle gestite da Lake Formation, il ruolo IAM utilizzato per generare le statistiche richiede l'accesso completo alla tabella.

Quando si configura l'attività di generazione delle statistiche delle colonne, AWS Glue consente di creare un ruolo che include la policy gestita AWSGlueServiceRole AWS e la policy inline richiesta per l'origine dati specificata. È inoltre possibile creare un ruolo, allegare le autorizzazioni elencate nella policy riportata di seguito e aggiungere il ruolo all'attività di generazione delle statistiche delle colonne.

Per creare un ruolo IAM per la generazione delle statistiche delle colonne

  1. Per creare un ruolo IAM, consulta l'argomento relativo alla creazione di ruoli IAM per AWS Glue.

  2. Per aggiornare un ruolo esistente, nella console IAM, vai al ruolo IAM utilizzato dal processo di generazione delle statistiche delle colonne.

  3. Nella sezione Autorizzazioni, scegli Collega policy. Nella finestra del browser appena aperta, scegli policy AWSGlueServiceRole AWS gestita.

  4. È necessario includere anche le autorizzazioni di lettura dei dati dalla posizione dei dati Amazon S3.

    Nella sezione Autorizzazioni, scegli Aggiungi policy bucket. Nella finestra del browser appena aperta, crea una nuova policy da utilizzare con il tuo ruolo.

  5. Nella pagina Crea policy seleziona la scheda JSON. Copia il codice seguente JSON nel campo dell'editor di policy.

    Nota

    Nelle seguenti policy, sostituire l'ID account con un Account AWS valido, sostituire region con la Regione della tabella e bucket-name con il nome del bucket Amazon S3.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3BucketAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
            	"arn:aws:s3:::amzn-s3-demo-bucket/*",
							"arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
     ]
}

  6. (Facoltativo) Se utilizzi le autorizzazioni di Lake Formation per fornire l'accesso ai tuoi dati, il ruolo IAM richiede le autorizzazioni lakeformation:GetDataAccess.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "LakeFormationDataAccess",
      "Effect": "Allow",
      "Action": "lakeformation:GetDataAccess",
      "Resource": [
        "*"
      ]
    }
  ]
}

    Se la posizione dei dati di Amazon S3 è registrata con Lake Formation e il ruolo IAM assunto dall'attività di generazione delle statistiche delle colonne non dispone delle autorizzazioni di gruppo IAM_ALLOWED_PRINCIPALS concesse sulla tabella, il ruolo richiede le autorizzazioni ALTER e DESCRIBE di Lake Formation sulla tabella. Il ruolo utilizzato per la registrazione del bucket Amazon S3 richiede le autorizzazioni INSERT e DELETE di Lake Formation sulla tabella.

    Se la posizione dei dati di Amazon S3 non è registrata con Lake Formation e il ruolo IAM non dispone delle autorizzazioni di gruppo IAM_ALLOWED_PRINCIPALS concesse sulla tabella, il ruolo richiede le autorizzazioni ALTER, DESCRIBE, INSERT e DELETE di Lake Formation sulla tabella.

  7. Se è stata abilitata l'opzione Automatic statistics generation a livello di catalogo, il ruolo IAM deve avere l'autorizzazione glue:UpdateCatalog o l'autorizzazione ALTER CATALOG di Lake Formation sul Catalogo dati predefinito. Puoi utilizzare l'operazione GetCatalog per verificare le proprietà del catalogo.

  8. (Facoltativo) L'attività di generazione delle statistiche delle colonne che scrive Amazon CloudWatch Logs crittografati necessita delle autorizzazioni seguenti nella policy della chiave.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CWLogsKmsPermissions",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:AssociateKmsKey"
      ],
      "Resource": [
        "arn:aws:logs:us-east-1:111122223333:log-group:/aws-glue:*"
      ]
    },
    {
      "Sid": "KmsPermissions",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:Encrypt"
      ],
      "Resource": [
        "arn:aws:kms:us-east-1:111122223333:key/arn of key used for ETL cloudwatch encryption"
      ],
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "glue.us-east-1.amazonaws.com"
          ]
        }
      }
    }
  ]
}

  9. Il ruolo utilizzato per eseguire le statistiche delle colonne deve disporre dell'autorizzazione iam:PassRole relativa al ruolo.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::111122223333:role/columnstats-role-name"
      ]
    }
  ]
}

  10. Quando crei un ruolo IAM per la generazione delle statistiche delle colonne, tale ruolo deve disporre anche della policy di attendibilità seguente che consente al servizio di assumere il ruolo.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "TrustPolicy",
      "Effect": "Allow",
      "Principal": {
        "Service": "glue.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}