Einrichten von IAM-Berechtigungen für AWS Glue - AWS Glue
Nächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten von IAM-Berechtigungen für AWS Glue

Die Anweisungen in diesem Thema helfen Ihnen beim schnellen Einrichten von AWS Identity and Access Management (IAM-) Berechtigungen für. AWS Glue Sie werden folgende Aufgaben erledigen:

  • Gewähren Sie Ihren IAM-Identitäten Zugriff auf Ressourcen. AWS Glue

  • Erstellen Sie eine Servicerolle für die Ausführung von Jobs, den Zugriff auf Daten und die Ausführung von AWS Glue Datenqualitätsaufgaben.

Ausführliche Anweisungen, mit denen Sie die IAM-Berechtigungen anpassen können AWS Glue, finden Sie unterKonfiguration von IAM-Berechtigungen für AWS Glue.

So richten Sie IAM-Berechtigungen ein für AWS Glue in AWS Management Console

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Glue Konsole unter https://console.aws.amazon.com/glue/.

  2. Wählen Sie Getting started (Erste Schritte).

  3. Wählen Sie unter Konto vorbereiten für AWS Glue die Option IAM-Berechtigungen einrichten aus.

  4. Wählen Sie die IAM-Identitäten (Rollen oder Benutzer) aus, denen Sie Berechtigungen erteilen AWS Glue möchten. AWS Glue hängt die AWSGlueConsoleFullAccess verwaltete Richtlinie an diese Identitäten an. Sie können diesen Schritt überspringen, wenn Sie diese Berechtigungen manuell festlegen möchten oder nur eine Standardeinstellung für die Servicerolle festlegen möchten.

  5. Wählen Sie Weiter.

  6. Wählen Sie die Amazon-S3-Zugriffsebene, die Ihre Rollen und Benutzer benötigen. Die Optionen, die Sie in diesem Schritt auswählen, werden auf alle von Ihnen ausgewählten Identitäten angewendet.

    1. Wählen Sie unter S3-Standorte auswählen die Amazon-S3-Standorte aus, auf die Sie Zugriff gewähren möchten.

    2. Wählen Sie als Nächstes aus, ob Ihre Identitäten nur Lesezugriff (empfohlen) oder Lese- und Schreibzugriff auf die zuvor ausgewählten Speicherorte haben sollen. AWS Glue fügt Ihren Identitäten basierend auf der von Ihnen ausgewählten Kombination aus Speicherorten und Lese- oder Schreibberechtigungen Berechtigungsrichtlinien hinzu.

      In der folgenden Tabelle sind die Berechtigungen aufgeführt, die AWS Glue für den Zugriff auf Amazon S3 gelten.

      Wenn Sie auswählen ... AWS Glue hängt an...
      Keine Änderung Keine Berechtigungen. AWS Glue wird keine Änderungen an den Berechtigungen Ihrer Identität vornehmen.
      Zugriff auf bestimmte Amazon-S3-Standorte gewähren (schreibgeschützt)

      Eine Inline-Richtlinie, die in Ihre ausgewählten IAM-Identitäten eingebettet ist. Weitere Informationen finden Sie unter Inline-Richtlinien im IAM-Benutzerhandbuch.

      AWS Glue benennt die Richtlinie nach der folgenden Konvention:AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>. Beispiel: AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123.

      Das Folgende ist ein Beispiel für eine Inline-Richtlinie, die AWS Glue angehängt wird, um schreibgeschützten Zugriff auf einen bestimmten Amazon S3 S3-Standort zu gewähren.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
      Zugriff auf bestimmte Amazon-S3-Standorte gewähren (Lese- und Schreibzugriff) Eine Inline-Richtlinie, die in Ihre ausgewählten IAM-Identitäten eingebettet ist. Weitere Informationen finden Sie unter Inline-Richtlinien im IAM-Benutzerhandbuch.

      AWS Glue benennt die Richtlinie nach der folgenden Konvention:. AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID> Beispiel: AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123.

      Das Folgende ist ein Beispiel für eine Inline-Richtlinie, die AWS Glue angehängt wird, um Lese- und Schreibzugriff auf bestimmte Amazon S3 S3-Standorte zu gewähren.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*",
                "s3:*Object*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}
      Vollständigen Zugriff auf Amazon S3 gewähren (nur Lesezugriff) Die AmazonS3ReadOnlyAccess-verwaltete IAM-Richtlinie. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: ReadOnlyAccess AmazonS3.
      Vollständigen Zugriff auf Amazon S3 gewähren ( Lese- und Schreibzugriff) Die AmazonS3FullAccess-verwaltete IAM-Richtlinie. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: AmazonS3. FullAccess

  7. Wählen Sie Weiter.

  8. Wählen Sie eine AWS Glue Standard-Servicerolle für Ihr Konto. Eine Servicerolle ist eine IAM-Rolle, die AWS Glue verwendet wird, um in Ihrem Namen auf Ressourcen in anderen AWS Diensten zuzugreifen. Weitere Informationen finden Sie unter Servicerollen für AWS Glue.

    • Wenn Sie sich für die AWS Glue Standard-Servicerolle entscheiden, AWS Glue wird in Ihrem AWS-Konto Namen eine neue IAM-Rolle AWSGlueServiceRole mit den folgenden verwalteten Richtlinien erstellt. Wenn Ihr Konto bereits eine IAM-Rolle mit dem Namen hatAWSGlueServiceRole, werden diese Richtlinien AWS Glue an die bestehende Rolle angehängt.

      • AWSGlueServiceRole— Diese verwaltete Richtlinie ist erforderlich, AWS Glue damit Sie in Ihrem Namen auf Ressourcen zugreifen und diese verwalten können. Sie AWS Glue ermöglicht das Erstellen, Aktualisieren und Löschen verschiedener Ressourcen wie AWS Glue Jobs, Crawler und Verbindungen. Diese Richtlinie gewährt auch Berechtigungen für den Zugriff auf Amazon CloudWatch Protokolle AWS Glue zu Protokollierungszwecken. Für den Einstieg empfehlen wir, diese Richtlinie zu verwenden, um sich mit der Verwendung vertraut zu machen AWS Glue. Wenn Sie sich damit vertraut gemacht haben AWS Glue, können Sie Richtlinien erstellen, mit denen Sie den Zugriff auf Ressourcen nach Bedarf anpassen können.

      • AmazonS3 FullAccess — Diese verwaltete Richtlinie gewährt die erforderlichen Berechtigungen AWS Glue für vollständigen Lese- und Schreibzugriff auf Amazon S3 S3-Ressourcen. Dieser breite Zugriff ist häufig erforderlich, da während des Betriebs AWS Glue möglicherweise mit mehreren Amazon S3 S3-Buckets und -Pfaden interagiert werden muss. Für den Einstieg empfehlen wir, diese Richtlinie zu verwenden, um sich mit der Verwendung vertraut zu machen. AWS Glue

        Die FullAccess `AmazonS3`-Richtlinie sieht zwar umfassende Berechtigungen vor, es wird jedoch als bewährte Methode angesehen, dem Prinzip der geringsten Rechte zu folgen und, wenn möglich, restriktivere Berechtigungen zu gewähren. Sie können eine benutzerdefinierte IAM-Richtlinie erstellen, die nur Zugriff auf die spezifischen Amazon S3 S3-Buckets und -Pfade gewährt, die für Ihre AWS Glue Jobs, Crawler und Datenquellen erforderlich sind. Dieser Ansatz erfordert jedoch mehr Aufwand bei der Verwaltung und Aktualisierung der Richtlinie, wenn sich Ihre AWS Glue Nutzung weiterentwickelt.

    • Wenn Sie eine bestehende IAM-Rolle auswählen, AWS Glue legt diese Rolle als Standard fest, fügt ihr jedoch keine Berechtigungen hinzu. Stellen Sie sicher, dass Sie die Rolle so konfiguriert haben, dass sie als Servicerolle für AWS Glue verwendet werden soll. Weitere Informationen erhalten Sie unter Schritt 1: Erstellen Sie eine IAM-Richtlinie für AWS Glue Service nicht zulässig und Schritt 2: Erstellen Sie eine IAM-Rolle für AWS Glue.

  9. Wählen Sie Weiter.

  10. Überprüfen Sie abschließend die von Ihnen ausgewählten Berechtigungen und wählen Sie dann Änderungen übernehmen aus. Wenn Sie die Änderungen übernehmen, werden den ausgewählten Identitäten IAM-Berechtigungen AWS Glue hinzugefügt. Sie können die neuen Berechtigungen in der IAM-Konsole unter anzeigen oder ändern. https://console.aws.amazon.com/iam/

Sie haben jetzt die Einrichtung der IAM-Mindestberechtigungen für abgeschlossen. AWS Glue In einer Produktionsumgebung empfehlen wir Ihnen, sich mit den AWS Ressourcen für Ihren Anwendungsfall vertraut Identitäts- und Zugriffsmanagement für AWS Glue zu machen Sicherheit in AWS Glue und Ihnen zu helfen, diese zu sichern.

Nächste Schritte

Nachdem Sie nun die IAM-Berechtigungen eingerichtet haben, können Sie die folgenden Themen erkunden, um mit der Verwendung von AWS Glue zu beginnen: