本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 的 IAM 許可 AWS Glue
<a name="set-up-iam"></a>

本主題中的指示可協助您快速設定 的 AWS Identity and Access Management (IAM) 許可 AWS Glue。您將完成下列任務：
+ 授予 IAM 身分對 AWS Glue 資源的存取權。
+ 建立執行任務、存取資料和執行 AWS Glue Data Quality 任務的服務角色。

如需可用來自訂 IAM 許可的詳細說明 AWS Glue，請參閱 [設定 AWS Glue 的 IAM 許可](configure-iam-for-glue.md)。

**在 AWS Glue 中設定 的 IAM 許可 AWS 管理主控台**

1. 登入 AWS 管理主控台 並在 https：//[https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) 開啟 AWS Glue 主控台。

1. 選擇 **Getting started (入門)**。

1. 在**準備您的帳戶下 AWS Glue**，選擇**設定 IAM 許可**。

1. 選擇您要授予 AWS Glue 許可的 IAM 身分 （角色或使用者）。 會將 `[AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)`受管政策 AWS Glue 連接到這些身分。如果您想要手動設定這些許可，或只想設定預設的服務角色，則可略過此步驟。

1. 選擇**下一步**。

1. 選擇您的角色和使用者所需的 Amazon S3 存取層級。您在此步驟中選擇的選項會套用至您選取的所有身分。

   1. 在**選擇 S3 位置**下，選擇您要授予存取權的 Amazon S3 位置。

   1. 接著，選取您的身分是否應具有**唯讀 （建議）** 或您先前選取位置的**讀取和寫入**存取權。 會根據所選位置和讀取或寫入許可的組合，將許可政策 AWS Glue 新增至您的身分。

      下表顯示為 Amazon S3 存取 AWS Glue 附加的許可。  
****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/glue/latest/dg/set-up-iam.html)

1. 選擇**下一步**。

1. 為您的 帳戶選擇預設 AWS Glue 服務角色。服務角色是 IAM 角色， AWS Glue 用來代表您存取其他 AWS 服務中的資源。如需詳細資訊，請參閱[Glue AWS 的服務角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service)。
   + 當您選擇標準 AWS Glue 服務角色時， AWS Glue 會在已連接下列 受管政策`AWSGlueServiceRole`的 AWS 帳戶 中建立新的 IAM 角色。如果您的帳戶已有名為 的 IAM 角色`AWSGlueServiceRole`， 會將這些政策 AWS Glue 連接至現有角色。
     +  [ AWSGlueServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole) – 需要此受管政策 AWS Glue ，才能代表您存取和管理資源。它允許 AWS Glue 建立、更新和刪除各種資源，例如 AWS Glue 任務、爬蟲程式和連線。此政策也會授予 AWS Glue 存取 Amazon CloudWatch 日誌的許可，以供記錄之用。為了開始使用，建議您使用此政策來了解如何使用 AWS Glue。當您更熟悉 時 AWS Glue，您可以建立政策，讓您視需要微調對 資源的存取。
     +  [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess) – 此受管政策會透過 授予 AWS Glue 服務的完整存取權 AWS 管理主控台。此政策授予在 內執行任何操作的許可 AWS Glue，讓您可以視需要建立、修改和刪除任何 AWS Glue 資源。不過，請務必注意，此政策不會授予存取基礎資料存放區或 AWS 可能涉及 ETL 程序之其他服務的許可。由於 `AWSGlueConsoleFullAccess` 政策授予的許可範圍廣泛，因此應謹慎指派，並遵循最低權限原則。通常建議盡可能建立和使用針對特定使用案例和需求而量身打造的更精細政策。
     +  [ AWSGlueConsole-S3-read-only-policy](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-only-policy) – 此政策允許 從指定的 Amazon S3 儲存貯體 AWS Glue 讀取資料，但不授予在 Amazon S3 或 中寫入或修改資料的許可 

        [ AWSGlueConsole-S3-read-and-write](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-and-write) – 此政策允許 AWS Glue 讀取和寫入資料至指定的 Amazon S3 儲存貯體，做為 ETL 程序的一部分。
   +  當您選擇現有的 IAM 角色時， 會將角色 AWS Glue 設定為預設值，但不會新增`AWSGlueServiceRole`許可給該角色。請確定您已將角色設定為使用 做為 的服務角色 AWS Glue。如需詳細資訊，請參閱[步驟 1：建立適用於 AWS Glue 服務的 IAM 政策](create-service-policy.md)及[步驟 2：為 AWS Glue 建立 IAM 角色](create-an-iam-role.md)。

1. 選擇**下一步**。

1. 最後，檢閱您選取的許可，然後選擇**套用變更**。當您套用變更時， 會將 IAM 許可 AWS Glue 新增至您選取的身分。您可以在 IAM 主控台中檢視或修改新許可，網址為 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

您現在已完成 的最低 IAM 許可設定 AWS Glue。在生產環境中，我們建議您熟悉 [中的安全性 AWS Glue](security.md)，[Glue AWS 的身分和存取管理](security-iam.md)並協助您保護使用案例 AWS 的資源。

## 後續步驟
<a name="set-up-iam-next-steps"></a>

現在您已設定 IAM 許可，您可以瀏覽下列主題以開始使用 AWS Glue：
+ [AWS 技能建置器 AWS Glue 中的 入門](https://explore.skillbuilder.aws/learn/course/external/view/elearning/8171/getting-started-with-aws-glue)
+ [AWS Glue Data Catalog入門](start-data-catalog.md)