Fase 1: creare una policy IAM per il servizio AWS Glue

Per qualsiasi operazione che accede ai dati su un'altra AWS risorsa, come l'accesso ai tuoi oggetti in Amazon S3AWS Glue, è necessaria l'autorizzazione per accedere alla risorsa per tuo conto. Fornisci tali autorizzazioni utilizzando AWS Identity and Access Management (IAM).

Nota

Puoi saltare questo passaggio se utilizzi la politica AWS gestita. AWSGlueServiceRole

In questa fase, crei una policy simile a AWSGlueServiceRole. Puoi trovare la versione più recente di AWSGlueServiceRole nella console IAM.

Per creare una policy IAM per AWS Glue

Questa policy concede l'autorizzazione per alcune operazioni Amazon S3 per gestire le risorse nell'account richieste da AWS Glue quando assume il ruolo usando la policy. Alcune delle risorse specificate in questa politica si riferiscono a nomi predefiniti utilizzati dai bucket Amazon S3, dagli AWS Glue script ETL di Amazon S3, CloudWatch dai log e dalle risorse Amazon. EC2 Per semplicità, AWS Glue scrive alcuni oggetti Amazon S3 nei bucket nell'account con il prefisso aws-glue-* per impostazione predefinita.

Accedi e apri la console IAM all' AWS Management Console indirizzo. https://console.aws.amazon.com/iam/
Nel riquadro di navigazione sinistro, scegli Policy.
Scegliere Create Policy (Crea policy).

Nella schermata Create Policy (Crea policy), passa alla scheda per modificare JSON. Crea un documento di policy con le seguenti istruzioni JSON, quindi scegli Review policy (Verifica policy).

Nota

Aggiungi le autorizzazioni necessarie per le risorse Amazon S3. Potresti voler esplorare la sezione delle risorse della policy di accesso solo con le risorse necessarie.

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:*",
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeRouteTables",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",				
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "cloudwatch:PutMetricData"                
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-glue-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"				
            ],
            "Resource": [
                "arn:aws:s3:::aws-glue-*/*",
                "arn:aws:s3:::*/*aws-glue-*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::crawler-public*",
                "arn:aws:s3:::aws-glue-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:AssociateKmsKey"                
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:/aws-glue/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags",
                "ec2:DeleteTags"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "aws-glue-service-resource"
                    ]
                }
            },
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:instance/*"
            ]
        }
    ]
}

La tabella seguente descrive le autorizzazioni concesse dalla policy.

Azione	Risorsa	Descrizione
`"glue:*"`	`"*"`	Concede l'autorizzazione per eseguire tutte le operazioni API AWS Glue.
`"s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketAcl",`	`"*"`	Permette di elencare i bucket Amazon S3 da crawler, processi, endpoint di sviluppo e server notebook.
`"ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute",`	`"*"`	Consente la configurazione di elementi della EC2 rete Amazon, come cloud privati virtuali (VPCs) durante l'esecuzione di job, crawler ed endpoint di sviluppo.
`"iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy"`	`"*"`	Permette di elencare i ruoli IAM da crawler, processi, endpoint di sviluppo e server notebook.
`"cloudwatch:PutMetricData"`	`"*"`	Consente di scrivere CloudWatch metriche per i lavori.
`"s3:CreateBucket", "s3:PutBucketPublicAccessBlock"`	`"arn:aws:s3:::aws-glue-*"`	Consente la creazione di bucket Amazon S3 nel tuo account da processi e server notebook. Convenzione per la denominazione: utilizza cartelle Amazon S3 denominate aws-glue-. Consente ad AWS Glue di creare i bucket che bloccano l'accesso pubblico.
`"s3:GetObject", "s3:PutObject", "s3:DeleteObject"`	`"arn:aws:s3:::aws-glue-/", "arn:aws:s3:::/aws-glue-/"`	Permette di ottenere, inserire ed eliminare oggetti Amazon S3 nell'account quando vengono archiviati oggetti come script ETL e posizioni dei server notebook. Convenzione per la denominazione: concede l'autorizzazione alle cartelle o ai bucket Amazon S3 i cui nomi hanno il prefisso aws-glue-.
`"s3:GetObject"`	`"arn:aws:s3:::crawler-public", "arn:aws:s3:::aws-glue-"`	Permette di ottenere gli oggetti Amazon S3 usati da esempi e tutorial da crawler e processi. Convenzione per la denominazione: i nomi di bucket Amazon S3 iniziano con crawler-public e aws-glue-.
`"logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents"`	`"arn:aws:logs:::log-group:/aws-glue/*"`	Consente di scrivere log su Logs. CloudWatch Convenzione di denominazione: AWS Glue scrive i log in gruppi di log i cui nomi iniziano con aws-glue.
`"ec2:CreateTags", "ec2:DeleteTags"`	`"arn:aws:ec2:::network-interface/", "arn:aws:ec2:::security-group/", "arn:aws:ec2:::instance/*"`	Consente l'etichettatura delle EC2 risorse Amazon create per gli endpoint di sviluppo. Convenzione di denominazione: AWS Glue etichetta con le interfacce EC2 di rete Amazon, i gruppi di sicurezza e le istanze. aws-glue-service-resource

Nella schermata Verifica policy, inserisci il Nome policy, ad esempio GlueServiceRolePolicy. Digita una descrizione facoltativa e, al termine, seleziona Create policy (Crea policy).

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione delle autorizzazioni IAM per AWS Glue

Fase 2: creare un ruolo IAM per AWS Glue