Création d'un rôle de travail dans le flux de travail pour Résolution des entités AWS - Résolution des entités AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un rôle de travail dans le flux de travail pour Résolution des entités AWS

Résolution des entités AWS utilise un rôle de tâche de flux de travail pour exécuter un flux de travail. Vous pouvez créer ce rôle à l'aide de la console si vous disposez des IAM autorisations nécessaires. Si vous n'êtes pas CreateRole autorisé, demandez à votre administrateur de créer le rôle.

Pour créer un rôle de travail dans le flux de travail pour Résolution des entités AWS

  1. Connectez-vous à la IAM console à l'https://console.aws.amazon.com/iam/aide de votre compte administrateur.

  2. Sous Access Management (Gestion des accès), choisissez Roles (Rôles).

    Vous pouvez utiliser les rôles pour créer des informations d'identification à court terme, ce qui est recommandé pour renforcer la sécurité. Vous pouvez également sélectionner Utilisateurs pour créer des informations d'identification à long terme.

  3. Sélectionnez Créer un rôle.

  4. Dans l'assistant de création de rôle, pour Type d'entité fiable, choisissez Politique de confiance personnalisée.

  5. Copiez et collez la politique de confiance personnalisée suivante dans l'JSONéditeur.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "entityresolution.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  6. Choisissez Suivant.

  7. Pour Ajouter des autorisations, choisissez Create Policy.

    Un nouvel onglet apparaît.

    1. Copiez et collez la politique suivante dans l'JSONéditeur.

      Note

      L'exemple de politique suivant prend en charge les autorisations nécessaires pour lire les ressources de données correspondantes, telles qu'Amazon S3 et AWS Glue. Toutefois, il se peut que vous deviez modifier cette politique en fonction de la manière dont vous avez configuré vos sources de données.

      Vos AWS Glue ressources et les ressources Amazon S3 sous-jacentes doivent être identiques Région AWS à Résolution des entités AWS.

      Il n'est pas nécessaire d'accorder AWS KMS des autorisations si vos sources de données ne sont ni chiffrées ni déchiffrées. 

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::{{input-buckets}}",
                "arn:aws:s3:::{{input-buckets}}/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "{{accountId}}"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::{{output-bucket}}",
                "arn:aws:s3:::{{output-bucket}}/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "{{accountId}}"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetSchema",
                "glue:GetSchemaVersion",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:{{aws-region}}:{{accountId}}:database/{{input-databases}}",
                "arn:aws:glue:{{aws-region}}:{{accountId}}:table/{{input-database}}/{{input-tables}}",
                "arn:aws:glue:{{aws-region}}:{{accountId}}:catalog"
            ]
        }
    ]
}

      Remplacez chacun {{user input placeholder}} avec vos propres informations.

      aws-region Région AWS de vos ressources. Vos AWS Glue ressources, les ressources sous-jacentes d'Amazon S3 et les AWS KMS ressources doivent être identiques Région AWS àRésolution des entités AWS.
      accountId Votre Compte AWS carte d'identité.
      input-buckets Des compartiments Amazon S3 qui contiennent les objets de données sous-jacents de AWS Glue Where Résolution des entités AWS will read from.
      output-buckets Des compartiments Amazon S3 dans lesquels Résolution des entités AWS seront générées les données de sortie.
      input-databases AWS Glue bases de données d'où je Résolution des entités AWS vais lire.

    2. (Facultatif) Si le compartiment Amazon S3 d'entrée est chiffré à l'aide de la KMS clé du client, ajoutez ce qui suit :

              {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{aws-region}}:{{accountId}}:key/{{inputKeys}}"
            ]
        }

      Remplacez chacun {{user input placeholder}} avec vos propres informations.

      aws-region Région AWS de vos ressources. Vos AWS Glue ressources, les ressources sous-jacentes d'Amazon S3 et les AWS KMS ressources doivent être identiques Région AWS àRésolution des entités AWS.
      accountId Votre Compte AWS carte d'identité.
      inputKeys Clés gérées entrées AWS Key Management Service. Si vos sources d'entrée sont cryptées, vous Résolution des entités AWS devez déchiffrer vos données à l'aide de votre clé.

    3. (Facultatif) Si les données écrites dans le compartiment Amazon S3 de sortie doivent être chiffrées, ajoutez ce qui suit :

              {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Encrypt"
            ],
            "Resource": [
                "arn:aws:kms:{{aws-region}}:{{accountId}}:key/{{outputKeys}}"
            ]
        }

      Remplacez chacun {{user input placeholder}} avec vos propres informations.

      aws-region Région AWS de vos ressources. Vos AWS Glue ressources, les ressources sous-jacentes d'Amazon S3 et les AWS KMS ressources doivent être identiques Région AWS àRésolution des entités AWS.
      accountId Votre Compte AWS carte d'identité.
      outputKeys Clés gérées entrées AWS Key Management Service. Si vous avez besoin de chiffrer vos sources de sortie, vous Résolution des entités AWS devez chiffrer les données de sortie à l'aide de votre clé.

    4. (Facultatif) Si vous avez souscrit un abonnement auprès d'un fournisseur de services et que vous souhaitez utiliser un rôle existant pour un flux de travail basé sur les services du fournisseur, ajoutez ce qui suit : AWS Data Exchange

              {
            "Effect": "Allow",
            "Sid": "DataExchangePermissions",
            "Action": "dataexchange:SendApiAsset",
            "Resource": [
                "arn:aws:dataexchange:{{aws-region}}::data-sets/{{datasetId}}/revisions/{{revisionId}}/assets/{{assetId}}"
            ]
        }

      Remplacez chacun {{user input placeholder}} avec vos propres informations.

      aws-region L' Région AWS endroit où la ressource du fournisseur est accordée. Vous pouvez trouver cette valeur dans l'actif ARN de la AWS Data Exchange console. Par exemple : arn:aws:dataexchange:us-east-2::data-sets/111122223333/revisions/339ffc64444examplef3bc15cf0b2346b/assets/546468b8dexamplea37bfc73b8f79fefa
      datasetId L'ID de l'ensemble de données, qui se trouve sur la AWS Data Exchange console.
      revisionId Révision de l'ensemble de données, disponible sur la AWS Data Exchange console.
      assetId L'ID de la ressource, qui se trouve sur la AWS Data Exchange console.

  8. Retournez à votre onglet d'origine et sous Ajouter des autorisations, entrez le nom de la politique que vous venez de créer. (Vous devrez peut-être recharger la page.)

  9. Cochez la case à côté du nom de la politique que vous avez créée, puis choisissez Next.

  10. Dans Nom, révision et création, entrez le nom et la description du rôle.

    Note

    Le nom du rôle doit correspondre au modèle des passRole autorisations accordées au membre qui peut les transmettre workflow job role pour créer un flux de travail correspondant.

    Par exemple, si vous utilisez la politique AWSEntityResolutionConsoleFullAccess gérée, n'oubliez pas de l'inclure entityresolution dans le nom de votre rôle.

    1. Passez en revue Sélectionnez les entités fiables et modifiez-les si nécessaire.

    2. Passez en revue les autorisations dans Ajouter des autorisations et modifiez-les si nécessaire.

    3. Passez en revue les balises et ajoutez-y des balises si nécessaire.

    4. Sélectionnez Créer un rôle.

Le rôle de tâche de flux de travail pour Résolution des entités AWS a été créé.