Schritt 2: Erstellen Sie eine IAM Rolle für AWS Glue - AWS Glue

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 2: Erstellen Sie eine IAM Rolle für AWS Glue

Sie müssen Ihrer IAM Rolle Berechtigungen gewähren, die Sie annehmen AWS Glue können, wenn Sie in Ihrem Namen andere Dienste aufrufen. Dies umfasst den Zugriff auf Amazon S3 für alle Quellen, Ziele, Skripts und temporären Verzeichnisse, die Sie mit AWS Glue verwenden. Die Berechtigung wird von Crawlern, Aufträgen Entwicklungsendpunkten benötigt.

Sie stellen diese Berechtigungen mithilfe von AWS Identity and Access Management (IAM) bereit. Fügen Sie der IAM Rolle, an die Sie übergeben, eine Richtlinie hinzuAWS Glue.

Um eine IAM Rolle zu erstellen fürAWS Glue
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich Roles aus.

  3. Wählen Sie Rolle erstellen.

  4. Wählen Sie AWS Service als vertrauenswürdigen Entitätstyp aus. Suchen Sie dann nach einem Dienst oder einem Anwendungsfall und wählen Sie ihn aus AWS Glue. Wählen Sie Weiter.

  5. Wählen Sie auf der Seite Berechtigungen hinzufügen die Richtlinien aus, die die erforderlichen Berechtigungen enthalten, z. B. die AWS verwaltete Richtlinie AWSGlueServiceRole für allgemeine AWS Glue Berechtigungen und die AWS verwaltete Richtlinie AmazonS3 FullAccess für den Zugriff auf Amazon S3-Ressourcen. Wählen Sie anschließend Weiter.

    Anmerkung

    Stellen Sie sicher, dass eine der Richtlinien in dieser Rolle Berechtigungen für Ihre Amazon-S3-Quellen und -Ziele erteilt. Sie können Ihre eigenen Richtlinien für den Zugriff auf bestimmte Amazon-S3-Ressourcen bereitstellen. Datenquellen erfordern die Berechtigungen s3:ListBucket und s3:GetObject. Für Datenziele sind die Berechtigungen s3:ListBucket, s3:PutObject und s3:DeleteObject erforderlich. Weitere Informationen zum Erstellen einer Amazon-S3-Richtlinie für Ihre Ressourcen finden Sie unter Festlegen von Ressourcen in einer Richtlinie. Ein Beispiel für eine Amazon S3 S3-Richtlinie finden Sie unter IAMRichtlinien schreiben: So gewähren Sie Zugriff auf einen Amazon S3 S3-Bucket.

    Wenn Sie vorhaben, auf Amazon S3 S3-Quellen und -Ziele zuzugreifen, die mit SSE - verschlüsselt sindKMS, fügen Sie eine Richtlinie hinzu, die es AWS Glue Crawlern, Jobs und Entwicklungsendpunkten ermöglicht, die Daten zu entschlüsseln. Weitere Informationen finden Sie unter Schutz von Daten mithilfe serverseitiger Verschlüsselung mit AWS KMS verwalteten Schlüsseln (-). SSE KMS

    Im Folgenden wird ein Beispiel gezeigt.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. Geben Sie Ihrer Rolle einen Namen und fügen Sie eine Beschreibung hinzu (optional). Überprüfen Sie anschließend die Vertrauensrichtlinie und die Berechtigungen. Geben Sie in Role name (Rollenname) einen Namen für die Rolle ein, z. B. AWSGlueServiceRoleDefault. Erstellen Sie die Rolle mit dem Namen, dem die Zeichenfolge vorangestellt istAWSGlueServiceRole, damit die Rolle von Konsolenbenutzern an den Dienst weitergegeben werden kann. AWS Gluesofern die Richtlinien von Anfang an von IAM Servicerollen ausgehen. AWSGlueServiceRole Andernfalls müssen Sie eine Richtlinie hinzufügen, die Ihren Benutzern die iam:PassRole Rechte an IAM Rollen einräumt, die Ihrer Benennungskonvention entsprechen. Wählen Sie Create Role aus.

    Anmerkung

    Wenn Sie ein Notebook mit einer Rolle erstellen, wird diese Rolle dann an interaktive Sitzungen übergeben, sodass dieselbe Rolle an beiden Stellen verwendet werden kann. Daher muss die iam:PassRole-Berechtigung Teil der Richtlinie der Rolle sein.

    Erstellen Sie anhand des folgenden Beispiels eine neue Richtlinie für Ihre Rolle. Ersetzen Sie die Kontonummer durch Ihre eigene und den Rollennamen.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::090000000210:role/<role_name>" } ] }
  7. Fügen Sie Ihrer Rolle Tags hinzu (optional). Tags sind Schlüssel-Wert-Paare, die Sie Ressourcen hinzufügen können, um AWS Ressourcen zu identifizieren, zu organisieren oder nach ihnen zu suchen. Wählen Sie anschließend Create role (Rolle erstellen) aus.