Étape 3 : associer une politique aux utilisateurs ou aux groupes qui accèdent AWS Glue - AWS Glue

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 3 : associer une politique aux utilisateurs ou aux groupes qui accèdent AWS Glue

L'administrateur doit attribuer des autorisations à tous les utilisateurs, groupes ou rôles à l'aide du AWS Glue console ou AWS Command Line Interface (AWS CLI). Vous fournissez ces autorisations grâce à AWS Identity and Access Management (IAM) par le biais des stratégies. Cette étape décrit l'attribution d'autorisations à des utilisateurs ou groupes.

Une fois cette étape terminée, les politiques suivantes seront associées à votre utilisateur ou groupe :

  • La politique AWS gérée AWSGlueConsoleFullAccess ou la politique personnalisée GlueConsoleAccessPolicy

  • AWSGlueConsoleSageMakerNotebookFullAccess

  • CloudWatchLogsReadOnlyAccess

  • AWSCloudFormationReadOnlyAccess

  • AmazonAthenaFullAccess

Associer une politique en ligne et l'intégrer à un utilisateur ou à un groupe

Vous pouvez associer une politique AWS gérée ou une politique intégrée à un utilisateur ou à un groupe pour accéder au AWS Glue console. Certaines des ressources spécifiées dans cette politique font référence aux noms par défaut utilisés par AWS Glue pour les compartiments Amazon S3, les ETL scripts Amazon S3 AWS CloudFormation, CloudWatch les journaux et les EC2 ressources Amazon. Pour plus de simplicité, AWS Glue écrit certains objets Amazon S3 dans des compartiments de votre compte avec le préfixe aws-glue-* par défaut.

Note

Vous pouvez ignorer cette étape si vous utilisez la politique AWS gérée AWSGlueConsoleFullAccess.

Important

AWS Glue a besoin d'une autorisation pour assumer un rôle utilisé pour effectuer un travail en votre nom. Pour ce faire, vous ajoutez les iam:PassRole autorisations à votre AWS Glue utilisateurs ou groupes. Cette politique accorde l'autorisation aux rôles commençant par AWSGlueServiceRole pour AWS Glue les rôles de service et AWSGlueServiceNotebookRole pour les rôles requis lors de la création d'un serveur de blocs-notes. Vous pouvez également créer votre propre politique pour les autorisations iam:PassRole, conforme à votre convention de dénomination.

Conformément aux meilleures pratiques de sécurité, il est recommandé de restreindre l'accès en renforçant les politiques afin de restreindre davantage l'accès aux compartiments et aux groupes de Amazon CloudWatch journaux Amazon S3. Pour un exemple de politique Amazon S3, consultez Writing IAM Policies : How to Grant Access to an Amazon S3 bucket.

Au cours de cette étape, vous créez une politique similaire à AWSGlueConsoleFullAccess. Vous pouvez consulter la version la plus récente de AWSGlueConsoleFullAccess sur la console IAM.

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Utilisateurs ou Groupes d'utilisateurs.

  3. Dans la liste, sélectionnez le nom de l'utilisateur ou du groupe auquel intégrer une politique.

  4. Sélectionnez l'onglet Autorisations et, si nécessaire, développez la section Politiques d'autorisations.

  5. Cliquez sur le lien Add Inline policy (Ajouter une politique en ligne).

  6. Sur l'écran Créer une politique, accédez à un onglet à modifierJSON. Créez un document de stratégie contenant les JSON instructions suivantes, puis choisissez Revoir la politique.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:*",
                "redshift:DescribeClusters",
                "redshift:DescribeClusterSubnetGroups",
                "iam:ListRoles",
                "iam:ListUsers",
                "iam:ListGroups",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:ListAttachedRolePolicies",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeRouteTables",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeInstances",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters",
                "rds:DescribeDBSubnetGroups",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplateSummary",
                "dynamodb:ListTables",
                "kms:ListAliases",
                "kms:DescribeKey",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListDashboards"                
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::*/*aws-glue-*/*",
                "arn:aws:s3:::aws-glue-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:GetResources"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPublicAccessBlock"            ],
            "Resource": [
                "arn:aws:s3:::aws-glue-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:/aws-glue/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack"
            ],
            "Resource": "arn:aws:cloudformation:*:*:stack/aws-glue*/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RunInstances"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:image/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:volume/*"
            ]
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": [
                        "glue.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/AWSGlueServiceNotebookRole*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": [
                        "ec2.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/service-role/AWSGlueServiceRole*"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": [
                        "glue.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

    Le tableau suivant décrit les autorisations accordées par cette politique.

    Action Ressource Description

    "glue:*"

    "*"

    Accorde l'autorisation de tout exécuter AWS Glue APIopérations.

    Si vous avez déjà créé votre politique sans l'action "glue:*", vous devez ajouter les autorisations individuelles suivantes à votre politique :

    • « colle : ListCrawlers »

    • « colle : BatchGetCrawlers »

    • « colle : ListTriggers »

    • « colle : BatchGetTriggers »

    • « colle : ListDevEndpoints »

    • « colle : BatchGetDevEndpoints »

    • « colle : ListJobs »

    • « colle : BatchGetJobs »

    "redshift:DescribeClusters", "redshift:DescribeClusterSubnetGroups"

    "*"

    Permet de créer des connexions à Amazon Redshift.

    "iam:ListRoles", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies"

    "*"

    Permet de répertorier les rôles IAM lors de l'utilisation d'analyseurs, de tâches, de points de terminaison de développement et de serveurs de bloc-notes.

    "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:DescribeVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeInstances"

    "*"

    Permet de configurer des éléments du EC2 réseau Amazon, tels que lors de l'exécution de tâchesVPCs, de robots d'exploration et de points de terminaison de développement.

    "rds:DescribeDBInstances"

    "*"

    Permet de créer des connexions à AmazonRDS.

    "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation"

    "*"

    Permet de répertorier les compartiments Amazon S3 lors de l'utilisation d'crawlers, de tâches, de points de terminaison de développement et de serveurs de bloc-notes.

    "dynamodb:ListTables"

    "*"

    Autorise la création d’une liste des tables DynamoDB.

    "kms:ListAliases", "kms:DescribeKey"

    "*"

    Permet de travailler avec des KMS touches.

    "cloudwatch:GetMetricData", "cloudwatch:ListDashboards"

    "*"

    Permet de travailler avec CloudWatch des métriques.

    "s3:GetObject", "s3:PutObject"

    "arn:aws:s3::: aws-glue-*/*", "arn:aws:s3::: */*aws-glue-*/*", "arn:aws:s3::: aws-glue-*"

    Permet d'obtenir et de placer des objets Amazon S3 dans votre compte lorsque vous stockez des objets tels que des ETL scripts et des emplacements de serveurs de blocs-notes.

    Convention de dénomination : accorde l'autorisation aux compartiments ou dossiers Amazon S3 dont les noms portent le préfixe aws-glue-.

    "tag:GetResources"

    "*"

    Permet de récupérer des AWS tags.

    "s3:CreateBucket", "s3:PutBucketPublicAccessBlock"

    "arn:aws:s3::: aws-glue-*"

    Permet de créer un compartiment Amazon S3 dans votre compte lorsque vous stockez des objets tels que des ETL scripts et des emplacements de serveurs de blocs-notes.

    Convention de dénomination : accorde l'autorisation aux compartiments Amazon S3 dont les noms portent le préfixe aws-glue-.

    Permet AWS Glue pour créer des compartiments qui bloquent l'accès public.

    "logs:GetLogEvents"

    "arn:aws:logs:*:*: /aws-glue/*"

    Permet de récupérer les CloudWatch journaux.

    Convention de dénomination : AWS Glue écrit des journaux dans des groupes de journaux dont le nom commence par aws-glue-.

    "cloudformation:CreateStack", "cloudformation:DeleteStack"

    "arn:aws:cloudformation:*:*:stack/ aws-glue*/*"

    Permet de gérer les AWS CloudFormation piles lorsque vous travaillez avec des serveurs portables.

    Convention de dénomination : AWS Glue crée des piles dont le nom commence par aws-glue.

    "ec2:RunInstances"

    "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:image/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:volume/*"

    Autorise l'exécution de points de terminaison de développement et de serveurs de blocs-notes.

    "iam:PassRole"

    "arn:aws:iam::*:role/ AWSGlueServiceRole*"

    Autorise AWS Glue pour assumer PassRole l'autorisation pour les rôles commençant parAWSGlueServiceRole.

    "iam:PassRole"

    "arn:aws:iam::*:role/ AWSGlueServiceNotebookRole*"

    Permet EC2 à Amazon d'obtenir PassRole l'autorisation pour les rôles commençant parAWSGlueServiceNotebookRole.

    "iam:PassRole"

    "arn:aws:iam::*:role/service-role/ AWSGlueServiceRole*"

    Autorise AWS Glue pour assumer PassRole l'autorisation pour les rôles commençant parservice-role/AWSGlueServiceRole.

  7. Sur l'écran Réviser la politique, entrez le nom de la politique, par exemple GlueConsoleAccessPolicy. Lorsque vous êtes satisfait de la politique, sélectionnez Create policy (Créer une politique). Assurez-vous qu'aucune erreur ne s'affiche dans un cadre rouge en haut de l'écran. Corrigez les erreurs signalées.

    Note

    Si l'option Use autoformatting est sélectionnée, la politique est reformatée chaque fois que vous ouvrez une politique ou sélectionnez Validate Policy.

Pour joindre la politique AWSGlueConsoleFullAccess gérée

Vous pouvez joindre la AWSGlueConsoleFullAccess politique pour fournir les autorisations requises par AWS Glue utilisateur de la console.

Note

Vous pouvez ignorer cette étape si vous avez créé votre propre politique pour AWS Glue accès à la console.

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Politiques.

  3. Dans la liste des politiques, cochez la case à côté de AWSGlueConsoleFullAccess. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste de politiques.

  4. Sélectionnez Policy Actions (Actions de politique), puis sélectionnez Attach (Attacher).

  5. Sélectionnez l'utilisateur auquel attacher la politique. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur auquel attacher la politique, sélectionnez Attacher la politique.

Pour attacher la politique gérée par AWSGlueConsoleSageMakerNotebookFullAccess

Vous pouvez associer la AWSGlueConsoleSageMakerNotebookFullAccess politique à un utilisateur pour gérer les blocs-notes SageMaker IA créés sur le AWS Glue console. En plus des autres exigences AWS Glue autorisations de console, cette politique donne accès aux ressources nécessaires à la gestion des blocs-notes SageMaker AI.

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Politiques.

  3. Dans la liste des politiques, cochez la case à côté de AWSGlueConsoleSageMakerNotebookFullAccess. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste de politiques.

  4. Sélectionnez Policy Actions (Actions de politique), puis sélectionnez Attach (Attacher).

  5. Sélectionnez l'utilisateur auquel attacher la politique. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur auquel attacher la politique, sélectionnez Attach policy (Attacher la politique).

Pour joindre la politique CloudWatchLogsReadOnlyAccess gérée

Vous pouvez associer la CloudWatchLogsReadOnlyAccesspolitique à un utilisateur pour consulter les journaux créés par AWS Glue sur la console CloudWatch Logs.

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Politiques.

  3. Dans la liste des politiques, cochez la case à côté de CloudWatchLogsReadOnlyAccess. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste de politiques.

  4. Sélectionnez Policy Actions (Actions de politique), puis sélectionnez Attach (Attacher).

  5. Sélectionnez l'utilisateur auquel attacher la politique. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur auquel attacher la politique, sélectionnez Attach policy (Attacher la politique).

Pour joindre la politique AWSCloudFormationReadOnlyAccess gérée

Vous pouvez associer la AWSCloudFormationReadOnlyAccesspolitique à un utilisateur pour afficher les AWS CloudFormation piles utilisées par AWS Glue sur la AWS CloudFormation console.

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Politiques.

  3. Dans la liste des politiques, cochez la case située à côté de AWSCloudFormationReadOnlyAccess. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste de politiques.

  4. Sélectionnez Policy Actions (Actions de politique), puis sélectionnez Attach (Attacher).

  5. Sélectionnez l'utilisateur auquel attacher la politique. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur auquel attacher la politique, sélectionnez Attach policy (Attacher la politique).

Pour joindre la politique AmazonAthenaFullAccess gérée

Vous pouvez associer la AmazonAthenaFullAccesspolitique à un utilisateur pour qu'il puisse consulter les données Amazon S3 dans la console Athena.

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Politiques.

  3. Dans la liste des politiques, cochez la case à côté de AmazonAthenaFullAccess. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste de politiques.

  4. Sélectionnez Policy Actions (Actions de politique), puis sélectionnez Attach (Attacher).

  5. Sélectionnez l'utilisateur auquel attacher la politique. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur auquel attacher la politique, sélectionnez Attach policy (Attacher la politique).