接続を作成および使用するための API オペレーションを含むポリシー - AWS Glue

接続を作成および使用するための API オペレーションを含むポリシー

次のサンプル IAM ポリシーで、AWS Glue ETL ジョブでの Salesforce 接続の作成、管理、使用に必要なアクセス許可について説明します。新しいロールを作成する場合は、以下を含むポリシーを作成します。

JSON
{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret", 
                "secretsmanager:GetSecretValue", 
                "secretsmanager:PutSecretValue",
                "glue:ListConnectionTypes",
                "glue:DescribeConnectionType",
                "glue:RefreshOAuth2Tokens",
                "glue:ListEntities",
                "glue:DescribeEntity"
            ],
            "Resource": "*"
        }
    ]
}

また、次の IAM ポリシーを使用して、アクセスを許可できます。

  • AWSGlueServiceRole – さまざまな AWS Glue プロセスを実行するために必要なリソースへのアクセス権をユーザーに代わって付与します。これらのリソースには AWS Glue 、Amazon S3、IAM、CloudWatch Logs、および Amazon EC2 が含まれます。このポリシーで指定されたリソースの命名規則に従った場合、AWS Glue プロセスは必要なアクセス権限を使用できます。このポリシーは、通常、クローラ、ジョブ、開発エンドポイントを定義するときに指定されたロールにアタッチされます。

  • AWSGlueConsoleFullAccess — ポリシーがアタッチされているアイデンティティが AWS マネージメントコンソールを使用するときは、AWS Glue リソースへのフルアクセスを許可します。このポリシーで指定されたリソースの命名規則に従った場合、ユーザーは完全なコンソール機能を使用できます。このポリシーは、通常 AWS Glue コンソールのユーザーにアタッチされています。

Salesforce 接続の作成時にネットワークオプションを指定する場合は、IAM ロールに次のアクションも含める必要があります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}

ゼロ ETL Salesforce 接続については、「ゼロ ETL の前提条件」を参照してください。

ゼロ ETL Salesforce 接続については、「ゼロ ETL の前提条件」を参照してください。