設定 AWS Glue 的 IAM 許可 - AWS Glue
後續步驟

設定 AWS Glue 的 IAM 許可

本主題中的說明可協助您快速設定 AWS Glue 的 AWS Identity and Access Management (IAM) 許可。您將完成下列任務:

  • 授予您的 IAM 身分對 AWS Glue 資源的存取權。

  • 建立用於執行任務、存取資料和執行 AWS Glue Data Quality 任務的服務角色。

如需可用於自訂 AWS Glue IAM 許可的詳細說明,請參閱 設定 AWS Glue 的 IAM 許可

在 AWS Management Console 中設定 AWS Glue 的 IAM 許可

  1. 登入 AWS Management Console,並前往 https://console.aws.amazon.com/glue/ 開啟 AWS Glue 主控台。

  2. 選擇 Getting started (入門)

  3. 準備您的 AWS Glue 帳戶下,選擇設定 IAM 許可

  4. 選擇您要授予 AWS Glue 許可的 IAM 身分 (角色或使用者)。AWS Glue 會將 AWSGlueConsoleFullAccess 受管政策連接至這些身分。如果您想要手動設定這些許可,或只想設定預設的服務角色,則可略過此步驟。

  5. 選擇下一步

  6. 選擇您的角色和使用者所需的 Amazon S3 存取層級。您在此步驟中選擇的選項會套用至您選取的所有身分。

    1. 選擇 S3 位置下,選擇您要授予存取權的 Amazon S3 位置。

    2. 接下來,選取您的身分對您先前選取的位置應具有唯讀 (建議) 還是讀取和寫入存取權。AWS Glue 會根據您選取的位置和讀取或寫入許可的組合來為您的身分新增許可政策。

      下表顯示 AWS Glue 針對 Amazon S3 存取所連接的許可。

      如果選擇… AWS Glue 連接…
      未變更 沒有許可。AWS Glue 將不會變更您的身分許可。
      授予對特定 Amazon S3 位置的存取權 (唯讀)

      客戶管理政策 AWSGlueConsole-S3-read-only-policy 會授權對特定 Amazon S3 位置的唯讀許可。

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket1/*",
        "arn:aws:s3:::amzn-s3-demo-bucket2/*",
        "arn:aws:s3:::amzn-s3-demo-bucket3",
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "0000000000"
        }
      }
    }
  ]
}
      授予對指定 Amazon S3 位置的存取權 (讀取和寫入)

      AWSGlueConsole-S3-read-and-write-policy 會授權對特定 Amazon S3 位置的讀取和寫入許可。

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::aes-siem-00000000000-log/*",
        "arn:aws:s3:::aes-siem-00000000000-snapshot/*",
        "arn:aws:s3:::aes-siem-00000000000-log",
        "arn:aws:s3:::aes-siem-00000000000-snapshot"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "00000000000"
        }
      }
    }
  ]
}

  7. 選擇下一步

  8. 為您的帳戶選擇預設 AWS Glue 服務角色。服務角色是 AWS Glue 用來代表您存取其他 AWS 服務中資源的 IAM 角色。如需更多詳細資訊,請參閱 AWS Glue 的服務角色

    • 當您選擇標準 AWS Glue 服務角色時,AWS Glue 會在您的 AWS 帳戶 中建立一個名為 AWSGlueServiceRole 的新 IAM 角色,並連接以下受管政策。如果您的帳戶已具有名為 AWSGlueServiceRole 的 IAM 角色,AWS Glue 會將這些政策連接到現有角色。

      • AWSGlueServiceRole – AWS Glue 需要此受管政策,才能代表您存取和管理資源。其允許 AWS Glue 建立、更新和刪除各種資源,例如 AWS Glue 任務、編目程式和連線。此政策也會為 AWS Glue 授權許可,以存取 Amazon CloudWatch 日誌進行記錄。為了開始使用,建議您使用此政策來了解如何使用 AWS Glue。當您熟悉 AWS Glue 後,可以建立政策,視需要微調資源的存取。

      • AWSGlueConsoleFullAccess – 此受管政策會透過 AWS Management Console 授予 AWS Glue 服務的完整存取權。此政策授予在 AWS Glue 中執行任何操作的許可,讓您可以視需要建立、修改和刪除任何 AWS Glue 資源。不過,請務必注意,此政策不會授予存取基礎資料存放區或 ETL 程序中可能涉及的其他 AWS 服務的許可。由於 AWSGlueConsoleFullAccess 政策授予的許可範圍廣泛,因此應謹慎指派,並遵循最低權限原則。通常建議盡可能建立和使用針對特定使用案例和需求而量身打造的更精細政策。

      • AWSGlueConsole-S3-read-only-policy – 此政策允許 AWS Glue 從指定的 Amazon S3 儲存貯體中讀取資料,但不授予在 Amazon S3 中寫入或修改資料的許可

        AWSGlueConsole-S3-read-and-write – 此政策允許 AWS Glue 在 ETL 過程中對指定的 Amazon S3 儲存貯體進行資料讀寫操作。

    • 當您選擇現有的 IAM 角色時,AWS Glue 會將角色設定為預設角色,但不會為其新增 AWSGlueServiceRole 許可。請確定您已將角色設定為 AWS Glue 的服務角色。如需詳細資訊,請參閱步驟 1:建立適用於 AWS Glue 服務的 IAM 政策步驟 2:為 AWS Glue 建立 IAM 角色

  9. 選擇下一步

  10. 最後,檢閱您選取的許可,然後選擇套用變更。套用變更時,AWS Glue 會將 IAM 許可新增至您選取的身分。您可以在 IAM 主控台中檢視或修改新許可,網址為 https://console.aws.amazon.com/iam/

您現在已完成 AWS Glue 的最低 IAM 許可設定。在生產環境中,建議您熟悉 AWS Glue 中的安全性適用於 AWS Glue 的 Identity and Access Management,以協助您保護使用案例的 AWS 資源。

後續步驟

現在您已設定 IAM 許可,您可以瀏覽下列主題以開始使用 AWS Glue: