Erste Schritte mit Notebooks in AWS Glue Studio - AWS Glue
Erteilen von Berechtigungen für die IAM Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Notebooks in AWS Glue Studio

Wenn Sie ein Notebook über AWS Glue Studio starten, werden alle Konfigurationsschritte für Sie ausgeführt, damit Sie Ihre Daten untersuchen und nach wenigen Sekunden mit der Entwicklung Ihres Auftragsskripts beginnen können.

In den folgenden Abschnitten wird beschrieben, wie Sie eine Rolle erstellen und die entsprechenden Berechtigungen für die Verwendung von Notizbüchern in AWS Glue Studio für ETL Jobs gewähren.

Weitere Informationen zu den von AWS Glue definierten Aktionen finden Sie unter Von AWS Glue definierte Aktionen.

Erteilen von Berechtigungen für die IAM Rolle

Das Einrichten von AWS Glue Studio ist eine Voraussetzung für die Verwendung von Notebooks.

Um Notebooks in AWS Glue verwenden zu können, erfordert Ihre Rolle Folgendes:

  • Eine Vertrauensstellung zu AWS Glue für die Aktion sts:AssumeRole bzw. sts:TagSession, falls Markierungen gewünscht sind.

  • Eine IAM Richtlinie, die alle Berechtigungen für Notizbücher und interaktive Sitzungen enthält. AWS Glue

  • Eine IAM Richtlinie für eine Pass-Rolle, da die Rolle in der Lage sein muss, sich selbst vom Notizbuch an interaktive Sitzungen weiterzugeben.

Wenn Sie beispielsweise eine neue Rolle erstellen, können Sie der Rolle eine standardmäßige AWS verwaltete Richtlinie AWSGlueConsoleFullAccessRole hinzufügen und dann eine neue Richtlinie für den Notebook-Betrieb und eine weitere für die IAM PassRole Richtlinie hinzufügen.

Erforderliche Maßnahmen für eine Vertrauensstellung zu AWS Glue

Wenn Sie eine Notebook-Sitzung starten, müssen Sie sts:AssumeRole zur Vertrauensstellung der Rolle hinzufügen, die an das Notebook weitergegeben wird. Wenn Ihre Sitzung Tags enthält, müssen Sie auch die Aktion sts:TagSession weitergeben. Ohne diese Aktionen kann die Notebook-Sitzung nicht gestartet werden.

Beispielsweise: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "glue.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Richtlinien, die IAM Berechtigungen für Notizbücher enthalten

In der folgenden Beispielrichtlinie werden die erforderlichen AWS IAM Berechtigungen für Notizbücher beschrieben. Wenn Sie eine neue Rolle erstellen, erstellen Sie eine Richtlinie, die Folgendes enthält: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:StartNotebook",
                "glue:TerminateNotebook",
                "glue:GlueNotebookRefreshCredentials",
                "glue:DeregisterDataPreview",
                "glue:GetNotebookInstanceStatus",
                "glue:GlueNotebookAuthorize"
            ],
            "Resource": "*"
        }
    ]
}

Sie können die folgenden IAM Richtlinien verwenden, um den Zugriff auf bestimmte Ressourcen zu ermöglichen:

  • AwsGlueSessionUserRestrictedNotebookServiceRole: Bietet vollen Zugriff auf alle AWS Glue Ressourcen mit Ausnahme von Sitzungen. Ermöglicht Benutzern, nur die Notebook-Sitzungen zu erstellen und zu verwenden, die mit dem Benutzer verknüpft sind. Diese Richtlinie umfasst auch andere Berechtigungen, die für AWS Glue die Verwaltung von AWS Glue Ressourcen in anderen AWS Diensten erforderlich sind.

  • AwsGlueSessionUserRestrictedNotebookPolicy: Stellt Berechtigungen bereit, die es Benutzern ermöglichen, nur die Notizbuchsitzungen zu erstellen und zu verwenden, die dem Benutzer zugeordnet sind. Diese Richtlinie enthält auch explizite Berechtigungen zur Weitergabe einer eingeschränkten AWS Glue-Sitzungsrolle durch Benutzer.

IAMRichtlinie zum Übergeben einer Rolle

Wenn Sie ein Notebook mit einer Rolle erstellen, wird diese Rolle dann an interaktive Sitzungen übergeben, sodass dieselbe Rolle an beiden Stellen verwendet werden kann. Daher muss die iam:PassRole-Berechtigung Teil der Richtlinie der Rolle sein.

Erstellen Sie anhand des folgenden Beispiels eine neue Richtlinie für Ihre Rolle. Ersetzen Sie die Kontonummer durch Ihre eigene und den Rollennamen. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::090000000210:role/<role_name>"
        }
    ]
}