Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 3: Konfigurieren der Sicherheitseinstellungen
- IAMRolle
-
Der Crawler übernimmt diese Rolle. Sie muss über ähnliche Berechtigungen wie die AWS verwaltete Richtlinie verfügen
AWSGlueServiceRole. Für Amazon-S3- und DynamoDB-Quellen muss er auch über Berechtigungen für den Zugriff auf den Datenspeicher verfügen. Wenn der Crawler mit AWS Key Management Service (AWS KMS) verschlüsselte Amazon S3 S3-Daten liest, muss die Rolle über Entschlüsselungsberechtigungen für den AWS KMS Schlüssel verfügen.Für einen Amazon-S3-Datenspeicher wären zusätzliche Berechtigungen, die der Rolle zugeordnet sind, ähnlich wie die folgenden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket/object*" ] } ] }Für einen Amazon-DynamoDB-Datenspeicher wären zusätzliche Berechtigungen, die der Rolle zugeordnet sind, ähnlich wie die folgenden:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:Scan" ], "Resource": [ "arn:aws:dynamodb:region:account-id:table/table-name*" ] } ] }Um Ihren eigenen JDBC Treiber hinzuzufügen, müssen zusätzliche Berechtigungen hinzugefügt werden.
-
Gewähren Sie Berechtigungen für die folgenden Auftragsaktionen:
CreateJob,DeleteJob,GetJob,GetJobRun,StartJobRun. -
Gewähren Sie Berechtigungen für alle Amazon-S3-Aktionen:
s3:DeleteObjects,s3:GetObject,s3:ListBucket,s3:PutObject.Anmerkung
Der
s3:ListBucketist nicht erforderlich, wenn die Amazon-S3-Bucket-Richtlinie deaktiviert ist. -
Gewähren Sie dem Service-Prinzipal Zugriff auf den Bucket/Ordner in der Amazon-S3-Richtlinie.
Beispiel einer Amazon-S3-Richtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::bucket-name/driver-parent-folder/driver.jar", "arn:aws:s3:::bucket-name" ] } ] }AWS Glue erstellt die folgenden Ordner (
_crawlerund zwar_glue_job_crawlerauf derselben Ebene wie der JDBC Treiber) in Ihrem Amazon S3 S3-Bucket. Wenn der Treiberpfad beispielsweise<s3-path/driver_folder/driver.jar>lautet, werden die folgenden Ordner erstellt, sofern sie noch nicht vorhanden sind:-
<s3-path/driver_folder/_crawler>
-
<s3-path/driver_folder/_glue_job_crawler>
Optional können Sie einem Crawler eine Sicherheitskonfiguration hinzufügen, um Verschlüsselungsoptionen im Ruhezustand festzulegen.
Weitere Informationen erhalten Sie unter Schritt 2: Erstellen Sie eine IAM Rolle für AWS Glue und Identity and Access Management für AWS Glue.
-
- Lake-Formation-Konfiguration – optional
-
Erlauben Sie dem Crawler, Lake-Formation-Anmeldeinformationen für das Crawling der Datenquelle zu verwenden.
Wenn Sie Use Lake Formation credentials for crawling S3 data source (Lake-Formation-Anmeldeinformationen für das Crawling der S3-Datenquelle verwenden) aktivieren, kann der Crawler Lake-Formation-Anmeldeinformationen für das Crawling der Datenquelle verwenden. Wenn die Datenquelle zu einem anderen Konto gehört, müssen Sie die registrierte Konto-ID angeben. Andernfalls crawlt der Crawler nur die Datenquellen, die dem Konto zugeordnet sind. Gilt nur für Amazon-S3- und Data-Catalog-Datenquellen.
- Sicherheitskonfiguration – optional
-
Die Einstellungen enthalten Sicherheitskonfigurationen. Weitere Informationen finden Sie hier:
Anmerkung
Sobald eine Sicherheitskonfiguration für einen Crawler eingerichtet wurde, können Sie sie ändern, aber nicht entfernen. Um die Sicherheitsstufe eines Crawlers zu verringern, legen Sie die Sicherheitsfunktion explizit
DISABLEDin Ihrer Konfiguration fest oder erstellen Sie einen neuen Crawler.
