Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Voraussetzungen für die Generierung von Spaltenstatistiken
Um Spaltenstatistiken zu generieren oder zu aktualisieren, nimmt die Statistikgenerierungsaufgabe in Ihrem Namen eine AWS Identity and Access Management (IAM) -Rolle ein. Basierend auf den der Rolle erteilten Berechtigungen kann die Aufgabe zur Generierung von Spaltenstatistiken die Daten aus dem Amazon-S3-Datenspeicher lesen.
Wenn Sie die Aufgabe zur Generierung von Spaltenstatistiken konfigurieren, AWS Glue können Sie eine Rolle erstellen, die die AWSGlueServiceRole AWS verwaltete Richtlinie sowie die erforderliche Inline-Richtlinie für die angegebene Datenquelle umfasst.
Wenn Sie eine bestehende Rolle für die Generierung von Spaltenstatistiken angeben, stellen Sie sicher, dass sie die AWSGlueServiceRole Richtlinie oder eine gleichwertige (oder eine eingeschränkte Version dieser Richtlinie) sowie die erforderlichen Inline-Richtlinien enthält. Gehen Sie wie folgt vor, um eine neue IAM Rolle zu erstellen:
Anmerkung
Um Statistiken für von Lake Formation verwaltete Tabellen zu generieren, erfordert die zum Generieren von Statistiken verwendete IAM Rolle vollen Tabellenzugriff.
Wenn Sie die Aufgabe zur Generierung von Spaltenstatistiken konfigurieren, AWS Glue können Sie eine Rolle erstellen, die die AWSGlueServiceRole AWS verwaltete Richtlinie sowie die erforderliche Inline-Richtlinie für die angegebene Datenquelle umfasst. Sie können auch eine Rolle erstellen und die in der Richtlinie unten aufgeführten Berechtigungen anhängen und diese Rolle der Aufgabe zur Generierung von Spaltenstatistiken hinzufügen.
Um eine IAM Rolle für die Generierung von Spaltenstatistiken zu erstellen
-
Informationen zum Erstellen einer IAM Rolle finden Sie unter IAM Rolle erstellen für AWS Glue.
-
Um eine bestehende Rolle zu aktualisieren, wechseln Sie in der IAM Konsole zu der IAM Rolle, die beim Generieren von Spaltenstatistiken verwendet wird.
-
Wählen Sie in der Registerkarte Berechtigungen hinzufügen die Option Richtlinien anfügen aus. Wählen Sie im neu geöffneten Browserfenster die Option
AWSGlueServiceRoleAWS Verwaltete Richtlinie aus. -
Sie müssen außerdem Berechtigungen zum Lesen von Daten am Amazon-S3-Speicherort hinzufügen.
Wählen Sie im Abschnitt Berechtigungen hinzufügen die Option Richtlinie erstellen aus. Erstellen Sie im neu geöffneten Browserfenster eine neue Richtlinie, die Sie mit Ihrer Rolle verwenden möchten.
-
Wählen Sie auf der Seite „Richtlinie erstellen JSON“ die Registerkarte aus. Kopieren Sie den folgenden
JSON-Code in das Richtlinien-Editor-Feld.Anmerkung
Ersetzen Sie in den folgenden Richtlinien die Konto-ID durch eine gültige AWS-Konto und
regiondurch die Region der Tabelle sowiebucket-namedurch den Amazon S3 S3-Bucket-Namen.{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::<bucket-name>/*", "arn:aws:s3:::<bucket-name>" ] } ] } (Optional) Wenn Sie Lake Formation Formation-Berechtigungen verwenden, um Zugriff auf Ihre Daten zu gewähren, sind für die IAM Rolle
lakeformation:GetDataAccessBerechtigungen erforderlich.{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccess", "Effect": "Allow", "Action": "lakeformation:GetDataAccess", "Resource": [ "*" ] } ] }Wenn der Amazon S3 S3-Datenstandort bei Lake Formation registriert ist und für die IAM Rolle, die von der Aufgabe zur Generierung von Spaltenstatistiken übernommen wurde, keine
IAM_ALLOWED_PRINCIPALSGruppenberechtigungen für die Tabelle erteilt wurden, sind für die Rolle Lake FormationALTERundDESCRIBEBerechtigungen für die Tabelle erforderlich. Die Rolle, die für die Registrierung des Amazon-S3-Buckets verwendet wird, erfordertINSERT- undDELETE-Berechtigungen in Lake Formation für die Tabelle.Wenn der Amazon S3 S3-Datenstandort nicht bei Lake Formation registriert ist und der IAM Rolle keine
IAM_ALLOWED_PRINCIPALSGruppenberechtigungen für die Tabelle gewährt wurden, benötigt die Rolle Lake FormationALTERINSERTundDELETEBerechtigungen für die Tabelle.DESCRIBE-
(Optional) Für die Aufgabe zur Generierung von Spaltenstatistiken, die verschlüsselte Amazon CloudWatch Logs -Schreibvorgänge durchführt, sind die folgenden Berechtigungen in der Schlüsselrichtlinie erforderlich.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CWLogsKmsPermissions", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:AssociateKmsKey" ], "Resource": [ "arn:aws:logs:<region>:111122223333:log-group:/aws-glue:*" ] }, { "Sid": "KmsPermissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt" ], "Resource": [ "arn:aws:kms:<region>:111122223333:key/"arn of key used for ETL cloudwatch encryption" ], "Condition": { "StringEquals": { "kms:ViaService": ["glue.<region>.amazonaws.com"] } } } ] } -
Die Rolle, die Sie zum Ausführen von Spaltenstatistiken verwenden, muss über die
iam:PassRoleentsprechenden Berechtigungen für die Rolle verfügen.{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::111122223333:role/<columnstats-role-name>" ] }] } -
Wenn Sie eine IAM Rolle zum Generieren von Spaltenstatistiken erstellen, muss für diese Rolle auch die folgende Vertrauensrichtlinie gelten, die es dem Dienst ermöglicht, die Rolle zu übernehmen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TrustPolicy", "Effect": "Allow", "Principal": { "Service": "glue.amazonaws.com" }, "Action": "sts:AssumeRole", } ] }
