

# AWS Glue 用の IAM アクセス許可のセットアップ
<a name="set-up-iam"></a>

このトピックの手順は、AWS Glue の AWS Identity and Access Management (IAM) アクセス許可をすばやくセットアップするのに役立ちます。以下のタスクを実行します。
+ IAM ID に AWS Glue リソースへのアクセスを許可します。
+ ジョブの実行、データへのアクセス、AWS Glue Data Quality タスクの実行のためのサービスロールを作成します。

AWS Glue の IAM アクセス許可をカスタマイズするために使用できる詳細な手順については、「[AWS Glue の IAM アクセス許可の設定](configure-iam-for-glue.md)」を参照してください。

**AWS マネジメントコンソール で AWS Glue の IAM アクセス許可をセットアップするには**

1. AWS マネジメントコンソール にサインインし、AWS Glue コンソール ([https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/)) を開きます。

1. [**開始方法**] を選択します。

1. **[AWS Glue のアカウントの準備]** で、**[IAM アクセス許可のセットアップ]** を選択します。

1. AWS Glue アクセス許可を付与する IAM ID (ロールまたはユーザー) を選択します。AWS Glue は `[AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)` マネージドポリシーをこれらの ID にアタッチします。これらのアクセス許可を手動で設定する場合、またはデフォルトのサービスロールを設定するだけでよい場合は、このステップをスキップできます。

1. [**次へ**] を選択します。

1. ロールとユーザーが必要とする Amazon S3 アクセス権のレベルを選択します。このステップで選択したオプションは、選択したすべての ID に適用されます。

   1. **[S3 ロケーションの選択]** で、アクセスを許可する Amazon S3 ロケーションを選択します。

   1. 次に、上記で選択したロケーションに対して各 ID に付与するアクセス権を **[読み取り専用]** (推奨) にするか **[読み取りおよび書き込み]** にするかを選択します。AWS Glue は、選択した読み取りまたは書き込みアクセス許可とロケーションとの組み合わせに基づいて、アクセス許可ポリシーを ID に追加します。

      次の表は、AWS Glue が Amazon S3 アクセスに付与するアクセス許可を示しています。  
****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/glue/latest/dg/set-up-iam.html)

1. [**次へ**] を選択します。

1. アカウントのデフォルトの AWS Glue サービスロールを選択します。サービスロールは、AWS Glue がユーザーに代わって他の AWS のサービスのリソースにアクセスするのに使用する IAM ロールです。詳細については、「[AWS Glue のサービスロール](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service)」を参照してください。
   + 標準の AWS Glue サービスロールを選択すると、AWS Glue は AWS アカウント に新しい IAM ロールを `AWSGlueServiceRole` という名前で作成して、次のマネージドポリシーをアタッチします。アカウントに既に `AWSGlueServiceRole` という名前の IAM ロールがある場合は、AWS Glue はこれらのポリシーをその既存のロールにアタッチします。
     +  [AWSGlueServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole) – この管理ポリシーは、AWS Glue がユーザーに代わってリソースにアクセスして管理するために必要です。これにより、AWS Glue は AWS Glue ジョブ、クローラー、接続などのさまざまなリソースを作成、更新、削除できます。このポリシーは、ログ記録の目的で Amazon CloudWatch ログにアクセスするための AWS Glue のアクセス許可も付与します。開始するには、このポリシーを使用して AWS Glue の使用方法を学ぶことをお勧めします。AWS Glue に慣れるにつれて、必要に応じてリソースへのアクセスを微調整できるポリシーを作成できます。
     +  [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess) – この管理ポリシーは、AWS マネジメントコンソール を介した AWS Glue サービスへのフルアクセスを付与します。このポリシーは、AWS Glue 内で任意のオペレーションを実行するアクセス許可を付与し、必要に応じて任意の AWS Glue リソースを作成、変更、削除することを可能にします。ただし、このポリシーでは、基盤となるデータストアや、ETL プロセスに関係する可能性のあるその他の AWS のサービスにアクセスするためのアクセス許可は付与されないことに注意してください。`AWSGlueConsoleFullAccess` ポリシーによって付与されるアクセス許可の範囲が広いため、最小特権の原則に従って慎重に割り当てる必要があります。通常、可能な場合は、特定のユースケースと要件に合わせたより詳細なポリシーを作成して使用することをお勧めします。
     +  [ AWSGlueConsole-S3-read-only-policy](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-only-policy) – このポリシーは、指定された Amazon S3 バケットから AWS Glue がデータを読み取ることを許可しますが、Amazon S3 のデータに対する書き込みと変更を行うアクセス許可は付与しません。

        [ AWSGlueConsole-S3-read-and-write](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-and-write) – このポリシーは、ETL プロセスの一環として、指定された Amazon S3 バケットに対して AWS Glue がデータを読み書きすることを許可します。
   +  既存の IAM ロールを選択すると、AWS Glue は、そのロールをデフォルトとして設定しますが、ロールに `AWSGlueServiceRole` アクセス許可は追加されません。ロールが AWS Glue のサービスロールとして使用されるように設定したことを確認してください。詳細については、「[ステップ 1: AWS Glue サービスの IAM ポリシーを作成する](create-service-policy.md)」および「[ステップ 2: AWS Glue 用の IAM ロールを作成する](create-an-iam-role.md)」を参照してください。

1. [**次へ**] を選択します。

1. 最後に、選択したアクセス許可を確認し、**[変更を適用]** を選択します。変更を適用すると、AWS Glue は選択した ID に IAM アクセス許可を追加します。IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) で新しいアクセス許可の表示や変更ができます。

これで、AWS Glue の最小限の IAM アクセス許可のセットアップが完了しました。実稼働環境では、「[「AWS Glue」 のセキュリティ](security.md)」と「[AWS Glue のアイデンティティとアクセスの管理](security-iam.md)」をよく理解し、ユースケースに対して AWS リソースを確保できるようにすることをお勧めします。

## 次のステップ
<a name="set-up-iam-next-steps"></a>

IAM アクセス許可の設定が完了したので、次のトピックを確認して AWS Glue の使用を開始できます。
+ [「AWS スキルビルダー」の「AWS Glue の開始方法」](https://explore.skillbuilder.aws/learn/course/external/view/elearning/8171/getting-started-with-aws-glue)
+ [AWS Glue Data Catalog の開始方法](start-data-catalog.md)