Concessione di autorizzazioni per il ruolo IAM

Nozioni di base sui notebook in AWS Glue Studio

All'avvio di un notebook tramite AWS Glue Studio, tutti i passaggi di configurazione vengono eseguiti, in modo che tu possa esplorare i dati e iniziare a sviluppare lo script del processo dopo pochi secondi.

Nelle seguenti sezioni viene descritto come creare un ruolo e concedere le autorizzazioni appropriate per utilizzare i notebook in AWS Glue Studio per i processi ETL.

Per ulteriori informazioni sulle azioni definite da AWS Glue, vedere Actions defined by AWS Glue.

Argomenti

Concessione di autorizzazioni per il ruolo IAM

Concessione di autorizzazioni per il ruolo IAM

Configurare AWS Glue Studio è un prerequisito per l'utilizzo di notebook.

Per utilizzare i notebook in AWS Glue, il tuo ruolo richiede quanto segue:

Una relazione di fiducia con AWS Glue per l'operazione sts:AssumeRole e, se vuoi, taggare sts:TagSession.
Una policy IAM contenente tutte le autorizzazioni per notebook e sessioni interattiveAWS Glue.
Una policy IAM per un ruolo pass poiché il ruolo deve essere in grado di passare da notebook alle sessioni interattive.

Ad esempio, quando si crea un nuovo ruolo, è possibile aggiungere una politica AWS gestita standard simile AWSGlueConsoleFullAccessRole al ruolo, quindi aggiungere una nuova politica per le operazioni del notebook e un'altra per la politica IAM. PassRole

Azioni necessarie per una relazione di fiducia con AWS Glue

Quando si avvia una sessione di notebook, è necessario aggiungere sts:AssumeRole alla relazione di fiducia del ruolo che viene trasmesso a notebook. Se la tua sessione include tag, devi anche passare l'operazione sts:TagSession. Senza queste azioni, la sessione di notebook non può essere avviata.

Per esempio:

Policy contenenti autorizzazioni IAM per i notebook

La seguente policy di esempio descrive le autorizzazioni AWS IAM richieste per i notebook. Se stai creando un nuovo ruolo, crea una policy che contenga quanto segue:

È possibile utilizzare le seguenti policy IAM per consentire l'accesso a risorse specifiche:

AwsGlueSessionUserRestrictedNotebookServiceRole: fornisce l'accesso completo a tutte le AWS Glue risorse ad eccezione delle sessioni. Permette agli utenti di creare e utilizzare solo le sessioni notebook associate all'utente. Questa politica include anche altre autorizzazioni necessarie AWS Glue per gestire AWS Glue le risorse in altri AWS servizi.
AwsGlueSessionUserRestrictedNotebookPolicy: Fornisce autorizzazioni che consentono agli utenti di creare e utilizzare solo le sessioni di notebook associate all'utente. Questa policy include anche le autorizzazioni per consentire esplicitamente agli utenti di passare un ruolo di sessione AWS Glue limitato.

Policy IAM per trasmettere un ruolo

Quando crei un notebook con un ruolo, tale ruolo viene passato alle sessioni interattive in modo che lo stesso ruolo possa essere utilizzato in entrambe le posizioni. Come tale, il permesso iam:PassRole deve essere parte della policy del ruolo.

Crea una nuova policy per il tuo ruolo utilizzando l'esempio seguente. Sostituisci il numero di account con il tuo e il nome del ruolo.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione di un VPC per il tuo processo ETL

Configurazione dei profili di utilizzo