IAMBerechtigungen einrichten für AWS Glue - AWS Glue
Nächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMBerechtigungen einrichten für AWS Glue

Die Anweisungen in diesem Thema helfen Ihnen dabei, schnell AWS Identity and Access Management (IAM) Berechtigungen für einzurichten AWS Glue. Sie werden folgende Aufgaben erledigen:

  • Gewähren Sie Ihren IAM Identitäten Zugriff auf AWS Glue Ressourcen.

  • Erstellen Sie eine Servicerolle für die Ausführung von Jobs, den Zugriff auf Daten und die Ausführung von AWS Glue Datenqualitätsaufgaben.

Ausführliche Anweisungen, mit denen Sie die IAM Berechtigungen anpassen können AWS Glue, finden Sie unterIAMBerechtigungen konfigurieren für AWS Glue.

So richten Sie IAM Berechtigungen ein für AWS Glue in AWS Management Console

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Glue Konsole unter https://console.aws.amazon.com/glue/.

  2. Wählen Sie Getting started (Erste Schritte).

  3. Wählen Sie unter Konto vorbereiten für AWS Glue die Option IAMBerechtigungen einrichten aus.

  4. Wählen Sie die IAM Identitäten (Rollen oder Benutzer) aus, denen Sie AWS Glue Berechtigungen erteilen möchten. AWS Glue hängt die AWSGlueConsoleFullAccess verwaltete Richtlinie an diese Identitäten an. Sie können diesen Schritt überspringen, wenn Sie diese Berechtigungen manuell festlegen möchten oder nur eine Standardeinstellung für die Servicerolle festlegen möchten.

  5. Wählen Sie Weiter.

  6. Wählen Sie die Amazon-S3-Zugriffsebene, die Ihre Rollen und Benutzer benötigen. Die Optionen, die Sie in diesem Schritt auswählen, werden auf alle von Ihnen ausgewählten Identitäten angewendet.

    1. Wählen Sie unter S3-Standorte auswählen die Amazon-S3-Standorte aus, auf die Sie Zugriff gewähren möchten.

    2. Wählen Sie als Nächstes aus, ob Ihre Identitäten nur Lesezugriff (empfohlen) oder Lese- und Schreibzugriff auf die zuvor ausgewählten Speicherorte haben sollen. AWS Glue fügt Ihren Identitäten basierend auf der von Ihnen ausgewählten Kombination aus Speicherorten und Lese- oder Schreibberechtigungen Berechtigungsrichtlinien hinzu.

      In der folgenden Tabelle sind die Berechtigungen aufgeführt, die AWS Glue für den Zugriff auf Amazon S3 gelten.

      Wenn Sie auswählen ... AWS Glue hängt an...
      Keine Änderung Keine Genehmigungen. AWS Glue wird keine Änderungen an den Berechtigungen Ihrer Identität vornehmen.
      Zugriff auf bestimmte Amazon-S3-Standorte gewähren (schreibgeschützt)

      Eine Inline-Richtlinie, die in Ihre ausgewählten IAM Identitäten eingebettet ist. Weitere Informationen finden Sie unter Inline-Richtlinien im IAM Benutzerhandbuch.

      AWS Glue benennt die Richtlinie nach der folgenden Konvention:AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>. Beispiel: AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123.

      Das Folgende ist ein Beispiel für eine Inline-Richtlinie, die AWS Glue angehängt wird, um schreibgeschützten Zugriff auf einen bestimmten Amazon S3 S3-Standort zu gewähren.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
      Zugriff auf bestimmte Amazon-S3-Standorte gewähren (Lese- und Schreibzugriff) Eine Inline-Richtlinie, die in Ihre ausgewählten Identitäten eingebettet ist. IAM Weitere Informationen finden Sie unter Inline-Richtlinien im IAM Benutzerhandbuch.

      AWS Glue benennt die Richtlinie nach der folgenden Konvention:AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>. Beispiel: AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123.

      Das Folgende ist ein Beispiel für eine Inline-Richtlinie, die AWS Glue angehängt wird, um Lese- und Schreibzugriff auf bestimmte Amazon S3 S3-Standorte zu gewähren.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*",
                "s3:*Object*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}
      Vollständigen Zugriff auf Amazon S3 gewähren (nur Lesezugriff) Die AmazonS3ReadOnlyAccess verwaltete IAM Richtlinie. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: AmazonS3. ReadOnlyAccess
      Vollständigen Zugriff auf Amazon S3 gewähren ( Lese- und Schreibzugriff) Die AmazonS3FullAccess verwaltete RichtlinieIAM. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: AmazonS3. FullAccess

  7. Wählen Sie Weiter.

  8. Wählen Sie eine AWS Glue Standard-Servicerolle für Ihr Konto. Eine Servicerolle ist eine IAM Rolle, die AWS Glue verwendet wird, um in Ihrem Namen auf Ressourcen in anderen AWS Diensten zuzugreifen. Weitere Informationen finden Sie unter Servicerollen für AWS Glue.

    • Wenn Sie sich für die AWS Glue Standard-Servicerolle entscheiden, AWS Glue wird in Ihrem AWS-Konto Namen AWSGlueServiceRole eine neue IAM Rolle erstellt, der die folgenden verwalteten Richtlinien beigefügt sind. Wenn für Ihr Konto bereits eine IAM Rolle benannt istAWSGlueServiceRole, werden AWS Glue diese Richtlinien an die bestehende Rolle angehängt.

      • AWSGlueServiceRole— Diese verwaltete Richtlinie ist erforderlich AWS Glue , damit Sie in Ihrem Namen auf Ressourcen zugreifen und diese verwalten können. Sie AWS Glue ermöglicht das Erstellen, Aktualisieren und Löschen verschiedener Ressourcen wie AWS Glue Jobs, Crawler und Verbindungen. Diese Richtlinie gewährt auch Berechtigungen für den Zugriff auf Amazon CloudWatch Protokolle AWS Glue zu Protokollierungszwecken. Für den Einstieg empfehlen wir, diese Richtlinie zu verwenden, um sich mit der Verwendung vertraut zu machen AWS Glue. Wenn Sie sich damit vertraut gemacht haben AWS Glue, können Sie Richtlinien erstellen, mit denen Sie den Zugriff auf Ressourcen nach Bedarf anpassen können.

      • AmazonS3 FullAccess — Diese verwaltete Richtlinie gewährt die erforderlichen Berechtigungen AWS Glue für vollständigen Lese- und Schreibzugriff auf Amazon S3 S3-Ressourcen. Dieser breite Zugriff ist häufig erforderlich, da während des Betriebs AWS Glue möglicherweise mit mehreren Amazon S3 S3-Buckets und -Pfaden interagiert werden muss. Für den Einstieg empfehlen wir, diese Richtlinie zu verwenden, um sich mit der Verwendung vertraut zu machen. AWS Glue

        Die FullAccess `AmazonS3`-Richtlinie sieht zwar umfassende Berechtigungen vor, es wird jedoch als bewährte Methode angesehen, dem Prinzip der geringsten Rechte zu folgen und, wenn möglich, restriktivere Berechtigungen zu gewähren. Sie können eine benutzerdefinierte IAM Richtlinie erstellen, die nur Zugriff auf die spezifischen Amazon S3 S3-Buckets und -Pfade gewährt, die für Ihre AWS Glue Jobs, Crawler und Datenquellen erforderlich sind. Dieser Ansatz erfordert jedoch mehr Aufwand bei der Verwaltung und Aktualisierung der Richtlinie, wenn sich Ihre AWS Glue Nutzung weiterentwickelt.

    • Wenn Sie eine bestehende IAM Rolle auswählen, AWS Glue wird die Rolle als Standard festgelegt, ihr werden jedoch keine Berechtigungen hinzugefügt. Stellen Sie sicher, dass Sie die Rolle so konfiguriert haben, dass sie als Servicerolle für verwendet werden soll AWS Glue. Weitere Informationen erhalten Sie unter Schritt 1: Erstellen Sie eine IAM-Richtlinie für den AWS Glue-Service und Schritt 2: Erstellen Sie eine IAM Rolle für AWS Glue.

  9. Wählen Sie Weiter.

  10. Überprüfen Sie abschließend die von Ihnen ausgewählten Berechtigungen und wählen Sie dann Änderungen übernehmen aus. Wenn Sie die Änderungen übernehmen, werden den ausgewählten Identitäten IAM Berechtigungen AWS Glue hinzugefügt. Sie können die neuen Berechtigungen in der IAM Konsole unter https://console.aws.amazon.com/iam/anzeigen oder ändern.

Sie haben jetzt die Einrichtung der IAM Mindestberechtigungen für abgeschlossen AWS Glue. In einer Produktionsumgebung empfehlen wir Ihnen, sich mit den AWS Ressourcen für Ihren Anwendungsfall vertraut Identity and Access Management für AWS Glue zu machen Sicherheit in AWS Glue und Ihnen zu helfen, diese zu sichern.

Nächste Schritte

Nachdem Sie die IAM Berechtigungen eingerichtet haben, können Sie sich mit den folgenden Themen vertraut machen, um mit der Verwendung zu beginnen AWS Glue: