Autorisations de personas et de rôles pour les plans AWS Glue - AWS Glue
Personas du planAutorisations pour les personas du planAutorisations des rôles de plans

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations de personas et de rôles pour les plans AWS Glue

Voici les personas standard et les politiques d'autorisations AWS Identity and Access Management (IAM) suggérées pour les personas et les rôles pour les plans AWS Glue.

Personas du plan

Voici les personas généralement impliquées dans le cycle de vie des plans AWS Glue.

Persona Description
Développeur AWS Glue Développe, teste et publie des modèles.
administrateur AWS Glue Inscrit, gère et accorde des autorisations pour les modèles.
Analyste des données Exécute des modèles pour créer des flux de travail.

Pour de plus amples informations, veuillez consulter Présentation des plans dans AWS Glue.

Autorisations pour les personas du plan

Voici les autorisations suggérées pour chaque persona du modèle.

Autorisations de développeur AWS Glue pour les plans

Le développeur AWS Glue doit disposer des autorisations d'écriture sur le compartiment Amazon S3 utilisé pour publier le plan. Souvent, le développeur enregistre le modèle après l'avoir téléchargé. Dans ce cas, le développeur a besoin des autorisations répertoriées dans Autorisations d'administrateur AWS Glue pour les plans. De plus, si le développeur souhaite tester le modèle après son enregistrement, il a également besoin des autorisations répertoriées dans Autorisations d'analyste des données pour les plans.

Autorisations d'administrateur AWS Glue pour les plans

La politique suivante accorde des autorisations pour l'enregistrement, l'affichage et la gestion des plans AWS Glue.

Important

Dans la politique suivante, remplacez <s3-bucket-name> et <prefix> par le chemin d'accès Amazon S3 aux archives ZIP de modèles téléchargées à enregistrer.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateBlueprint",
                "glue:UpdateBlueprint",
                "glue:DeleteBlueprint",                
                "glue:GetBlueprint",
                "glue:ListBlueprints",
                "glue:BatchGetBlueprints"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::<s3-bucket-name>/<prefix>/*"
        }
    ]
}

Autorisations d'analyste des données pour les plans

La politique suivante accorde des autorisations pour exécuter les modèles et afficher le flux de travail et ses composants résultants. Elle accorde également à PassRole le rôle que AWS Glue endosse pour créer le flux de travail et ses composants.

La politique accorde des autorisations pour n'importe quelle ressource. Si vous souhaitez configurer un accès affiné à des modèles individuels, utilisez le format suivant pour les ARN de modèle :

arn:aws:glue:<region>:<account-id>:blueprint/<blueprint-name>
Important

Dans la politique suivante, remplacez <account-id> par un compte AWS valide et remplacez <role-name> par le nom du rôle utilisé pour exécuter un modèle. Veuillez consulter Autorisations des rôles de plans pour connaître les autorisations requises par ce rôle.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:ListBlueprints",
                "glue:GetBlueprint",
                "glue:StartBlueprintRun",
                "glue:GetBlueprintRun",
                "glue:GetBlueprintRuns",
                "glue:GetCrawler",
                "glue:ListTriggers",
                "glue:ListJobs",
                "glue:BatchGetCrawlers",
                "glue:GetTrigger",
                "glue:BatchGetWorkflows",
                "glue:BatchGetTriggers",
                "glue:BatchGetJobs",
                "glue:BatchGetBlueprints",
                "glue:GetWorkflowRun",
                "glue:GetWorkflowRuns",
                "glue:ListCrawlers",
                "glue:ListWorkflows",
                "glue:GetJob",
                "glue:GetWorkflow",
                "glue:StartWorkflowRun"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<account-id>:role/<role-name>"
        }
    ]
}

Autorisations des rôles de plans

Voici les autorisations suggérées pour le rôle IAM utilisé pour créer un flux de travail à partir d'un modèle. Le rôle doit avoir une relation d'approbation avec glue.amazonaws.com.

Important

Dans la politique suivante, remplacez <account-id> par un compte AWS valide et remplacez <role-name> par le nom du rôle.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateJob",
                "glue:GetCrawler",
                "glue:GetTrigger",
                "glue:DeleteCrawler",
                "glue:CreateTrigger",
                "glue:DeleteTrigger",
                "glue:DeleteJob",
                "glue:CreateWorkflow",
                "glue:DeleteWorkflow",
                "glue:GetJob",
                "glue:GetWorkflow",
                "glue:CreateCrawler"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<account-id>:role/<role-name>"
        }
    ]
}
Note

Si les tâches et les crawlers du flux de travail endossent un rôle autre que celui-ci, cette politique doit inclure l'autorisation iam:PassRole pour cet autre rôle plutôt que pour le rôle du modèle.