Erste Schritte mit Notizbüchern in AWS Glue Studio - AWS Glue
Erteilen von Berechtigungen für die IAM-Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Notizbüchern in AWS Glue Studio

Wenn Sie ein Notizbuch starten durch AWS Glue Studio, alle Konfigurationsschritte werden für Sie erledigt, sodass Sie Ihre Daten untersuchen und nach nur wenigen Sekunden mit der Entwicklung Ihres Job-Skripts beginnen können.

In den folgenden Abschnitten wird beschrieben, wie Sie eine Rolle erstellen und die entsprechenden Berechtigungen für die Verwendung von Notizbüchern in folgenden Bereichen gewähren AWS Glue Studio für ETL-Jobs.

Weitere Informationen zu den von AWS Glue definierten Aktionen finden Sie unter Von AWS Glue definierte Aktionen.

Erteilen von Berechtigungen für die IAM-Rolle

Einrichtung AWS Glue Studio ist eine Voraussetzung für die Verwendung von Notizbüchern.

Um Notizbücher zu verwenden in AWS Glue, Ihre Rolle erfordert Folgendes:

  • Ein Vertrauensverhältnis mit AWS Glue für die sts:AssumeRole Aktion und, wenn du taggen willst, dannsts:TagSession.

  • Eine IAM-Richtlinie, die alle Berechtigungen für Notebooks enthält, AWS Glue, und interaktive Sitzungen.

  • Eine IAM-Richtlinie für eine Rollenübergabe, da die Rolle sich selbst vom Notebook an interaktive Sitzungen weitergeben können muss.

Wenn Sie beispielsweise eine neue Rolle erstellen, können Sie der Rolle eine AWS verwaltete Standardrichtlinie AWSGlueConsoleFullAccessRole hinzufügen und dann eine neue Richtlinie für den Notebook-Betrieb und eine weitere für die PassRole IAM-Richtlinie hinzufügen.

Erforderliche Maßnahmen für eine Vertrauensbeziehung mit AWS Glue

Wenn Sie eine Notebook-Sitzung starten, müssen Sie sts:AssumeRole zur Vertrauensstellung der Rolle hinzufügen, die an das Notebook weitergegeben wird. Wenn Ihre Sitzung Tags enthält, müssen Sie auch die Aktion sts:TagSession weitergeben. Ohne diese Aktionen kann die Notebook-Sitzung nicht gestartet werden.

Zum Beispiel: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "glue.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Richtlinien, die IAM-Berechtigungen für Notebooks enthalten

Die folgende Beispielrichtlinie beschreibt die erforderlichen AWS IAM-Berechtigungen für Notebooks. Wenn Sie eine neue Rolle erstellen, erstellen Sie eine Richtlinie, die Folgendes enthält: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:StartNotebook",
                "glue:TerminateNotebook",
                "glue:GlueNotebookRefreshCredentials",
                "glue:DeregisterDataPreview",
                "glue:GetNotebookInstanceStatus",
                "glue:GlueNotebookAuthorize"
            ],
            "Resource": "*"
        }
    ]
}

Sie können die folgenden IAM-Richtlinien verwenden, um den Zugriff auf bestimmte Ressourcen zu gewähren:

  • AwsGlueSessionUserRestrictedNotebookServiceRole: Bietet vollen Zugriff auf alle AWS Glue Ressourcen außer für Sitzungen. Ermöglicht Benutzern, nur die Notebook-Sitzungen zu erstellen und zu verwenden, die mit dem Benutzer verknüpft sind. Diese Richtlinie umfasst auch andere Berechtigungen, die benötigt werden von AWS Glue zu verwalten AWS Glue Ressourcen in anderen AWS Diensten.

  • AwsGlueSessionUserRestrictedNotebookPolicy: Stellt Berechtigungen bereit, die es Benutzern ermöglichen, nur die Notizbuchsitzungen zu erstellen und zu verwenden, die dem Benutzer zugeordnet sind. Diese Richtlinie umfasst auch Berechtigungen, die es Benutzern ausdrücklich ermöglichen, eine eingeschränkte AWS Glue Sitzungsrolle.

IAM-Richtlinie zur Übergabe einer Rolle

Wenn Sie ein Notebook mit einer Rolle erstellen, wird diese Rolle dann an interaktive Sitzungen übergeben, sodass dieselbe Rolle an beiden Stellen verwendet werden kann. Daher muss die iam:PassRole-Berechtigung Teil der Richtlinie der Rolle sein.

Erstellen Sie anhand des folgenden Beispiels eine neue Richtlinie für Ihre Rolle. Ersetzen Sie die Kontonummer durch Ihre eigene und den Rollennamen. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::090000000210:role/<role_name>"
        }
    ]
}