Schritt 2: Erstellen Sie eine IAM-Rolle für AWS Glue

So erstellen Sie eine IAM-Rolle für AWS Glue

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

2. Wählen Sie im linken Navigationsbereich Roles aus.

3. Wählen Sie Rolle erstellen.

4. Wählen Sie AWS Service als vertrauenswürdigen Entitätstyp aus. Suchen Sie dann für den Service oder den Anwendungsfall und wählen Sie AWS Glue. Wählen Sie Weiter.

5. Wählen Sie auf der Seite „Berechtigungen hinzufügen“ die Richtlinien aus, die die erforderlichen Berechtigungen enthalten, z. B. die AWS verwaltete Richtlinie AWSGlueServiceRole für Allgemein AWS Glue Berechtigungen und die AWS verwaltete Richtlinie AmazonS3 FullAccess für den Zugriff auf Amazon S3-Ressourcen. Wählen Sie anschließend Weiter.

   Anmerkung

   Stellen Sie sicher, dass eine der Richtlinien in dieser Rolle Berechtigungen für Ihre Amazon-S3-Quellen und -Ziele erteilt. Sie können Ihre eigenen Richtlinien für den Zugriff auf bestimmte Amazon-S3-Ressourcen bereitstellen. Datenquellen erfordern die Berechtigungen s3:ListBucket und s3:GetObject. Für Datenziele sind die Berechtigungen s3:ListBucket, s3:PutObject und s3:DeleteObject erforderlich. Weitere Informationen zum Erstellen einer Amazon-S3-Richtlinie für Ihre Ressourcen finden Sie unter Festlegen von Ressourcen in einer Richtlinie. Eine Amazon-S3-Beispielrichtlinie finden Sie unter Schreiben von IAM-Richtlinien: So gewähren Sie Zugriff auf einen Amazon-S3-Bucket.

   Wenn Sie vorhaben, auf Amazon S3 S3-Quellen und -Ziele zuzugreifen, die mit SSE-KMS verschlüsselt sind, fügen Sie eine Richtlinie hinzu, die Folgendes ermöglicht AWS Glue Crawler, Jobs und Entwicklungsendpunkte zum Entschlüsseln der Daten. Weitere Informationen finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit AWS KMS verwalteten Schlüsseln (SSE-KMS).

   Im Folgenden wird ein Beispiel gezeigt.

   {  
      "Version":"2012-10-17",
      "Statement":[  
         {  
            "Effect":"Allow",
            "Action":[  
               "kms:Decrypt"
            ],
            "Resource":[  
               "arn:aws:kms:*:account-id-without-hyphens:key/key-id"
            ]
         }
      ]
   }
   

6. Geben Sie Ihrer Rolle einen Namen und fügen Sie eine Beschreibung hinzu (optional). Überprüfen Sie anschließend die Vertrauensrichtlinie und die Berechtigungen. Geben Sie in Role name (Rollenname) einen Namen für die Rolle ein, z. B. AWSGlueServiceRoleDefault. Erstellen Sie die Rolle mit dem Namen, dem die Zeichenfolge vorangestellt istAWSGlueServiceRole, damit die Rolle von Konsolenbenutzern an den Dienst weitergegeben werden kann. AWS Glue vorausgesetzt, die Richtlinien gehen davon aus, dass zunächst die IAM-Dienstrollen verwendet werden. AWSGlueServiceRole Andernfalls müssen Sie eine Richtlinie hinzufügen, um Ihren Benutzern die iam:PassRole-Berechtigung zu erteilen, das IAM-Rollen Ihrer Benennungskonvention entsprechen können. Wählen Sie Create Role aus.

   Anmerkung

   Wenn Sie ein Notebook mit einer Rolle erstellen, wird diese Rolle dann an interaktive Sitzungen übergeben, sodass dieselbe Rolle an beiden Stellen verwendet werden kann. Daher muss die iam:PassRole-Berechtigung Teil der Richtlinie der Rolle sein.

   Erstellen Sie anhand des folgenden Beispiels eine neue Richtlinie für Ihre Rolle. Ersetzen Sie die Kontonummer durch Ihre eigene und den Rollennamen.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::090000000210:role/<role_name>"
           }
       ]
   }
                           
                       

7. Fügen Sie Ihrer Rolle Tags hinzu (optional). Tags sind Schlüssel-Wert-Paare, die Sie Ressourcen hinzufügen können, um AWS Ressourcen zu identifizieren, zu organisieren oder nach ihnen zu suchen. Wählen Sie anschließend Create role (Rolle erstellen) aus.