Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 4 : créer une politique IAM pour les serveurs de blocs-notes
Si vous prévoyez d'utiliser des bloc-notes avec des points de terminaison de développement, vous devez spécifier des autorisations lorsque vous créez le serveur de bloc-notes. Vous fournissez ces autorisations à l'aide d'AWS Identity and Access Management (IAM).
Cette politique autorise certaines actions Amazon S3 à gérer des ressources de votre compte qui sont nécessaires pour AWS Glue lorsque celui-ci endosse le rôle à l'aide de cette politique. Certaines des ressources spécifiées dans cette politique font référence aux noms par défaut utilisés par AWS Glue pour les compartiments Amazon S3, les scripts ETL Amazon S3 et les ressources Amazon EC2. Pour plus de simplicité, AWS Glue écrit par défaut certains objets Amazon S3 dans des compartiments de votre compte portant le préfixe aws-glue-*
.
Note
Vous pouvez ignorer cette étape si vous utilisez la politique AWSGlueServiceNotebookRole
gérée par AWS.
Au cours de cette étape, vous créez une politique similaire à AWSGlueServiceNotebookRole
. Vous pouvez consulter la version la plus récente de AWSGlueServiceNotebookRole
sur la console IAM.
Pour créer une politique IAM pour les bloc-notes
Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation de gauche, choisissez Politiques.
-
Sélectionnez Créer une politique.
-
Sur l'écran Créer une politique, accédez à un onglet pour modifier le fichier JSON. Créez un document de politique avec les instructions JSON suivantes, puis sélectionnez Examiner une politique.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "glue:CreateDatabase", "glue:CreatePartition", "glue:CreateTable", "glue:DeleteDatabase", "glue:DeletePartition", "glue:DeleteTable", "glue:GetDatabase", "glue:GetDatabases", "glue:GetPartition", "glue:GetPartitions", "glue:GetTable", "glue:GetTableVersions", "glue:GetTables", "glue:UpdateDatabase", "glue:UpdatePartition", "glue:UpdateTable", "glue:GetJobBookmark", "glue:ResetJobBookmark", "glue:CreateConnection", "glue:CreateJob", "glue:DeleteConnection", "glue:DeleteJob", "glue:GetConnection", "glue:GetConnections", "glue:GetDevEndpoint", "glue:GetDevEndpoints", "glue:GetJob", "glue:GetJobs", "glue:UpdateJob", "glue:BatchDeleteConnection", "glue:UpdateConnection", "glue:GetUserDefinedFunction", "glue:UpdateUserDefinedFunction", "glue:GetUserDefinedFunctions", "glue:DeleteUserDefinedFunction", "glue:CreateUserDefinedFunction", "glue:BatchGetPartition", "glue:BatchDeletePartition", "glue:BatchCreatePartition", "glue:BatchDeleteTable", "glue:UpdateDevEndpoint", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketAcl" ], "Resource":[ "*" ] }, { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":[ "arn:aws:s3:::crawler-public*", "arn:aws:s3:::aws-glue*" ] }, { "Effect":"Allow", "Action":[ "s3:PutObject", "s3:DeleteObject" ], "Resource":[ "arn:aws:s3:::aws-glue*" ] }, { "Effect":"Allow", "Action":[ "ec2:CreateTags", "ec2:DeleteTags" ], "Condition":{ "ForAllValues:StringEquals":{ "aws:TagKeys":[ "aws-glue-service-resource" ] } }, "Resource":[ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:instance/*" ] } ] }
Le tableau suivant décrit les autorisations accordées par cette politique.
Action Ressource Description "glue:*"
"*"
Accorde les autorisations pour exécuter toutes les opérations d'API AWS Glue.
"s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketAcl"
"*"
Permet de répertorier les compartiments Amazon S3 à partir des serveurs de bloc-notes.
"s3:GetObject"
"arn:aws:s3:::crawler-public*", "arn:aws:s3:::aws-glue-*"
Permet d'obtenir des objets Amazon S3 utilisés par des exemples et des didacticiels de bloc-notes.
Convention de dénomination : les noms de compartiments Amazon S3 dont le nom commence par crawler-public et aws-glue-.
"s3:PutObject", "s3:DeleteObject"
"arn:aws:s3:::aws-glue*"
Permet d'ajouter et de supprimer des objets Amazon S3 dans votre compte à partir des bloc-notes.
Convention de dénomination : utilise les dossiers Amazon S3 nommés aws-glue-.
"ec2:CreateTags", "ec2:DeleteTags"
"arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:instance/*"
Permet de baliser des ressources Amazon EC2 créées pour des serveurs de bloc-notes.
Convention de dénomination : AWS Glue balise les instances Amazon EC2 avec aws-glue-service-resource.
-
Sur l'écran Review policy (Examiner la politique), tapez votre Policy Name (Nom de politique), par exemple GlueServiceNotebookPolicyDefault. Saisissez éventuellement une description, et lorsque vous êtes satisfait de la politique, sélectionnez Créer une politique.