Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Lorsque vous créez une tâche à l'aide de AWS Glue Studio, la tâche suppose les autorisations du IAM rôle que vous spécifiez lors de sa création. Ce IAM rôle doit être autorisé à extraire des données de votre source de données, à écrire des données sur votre cible et à accéder aux AWS Glue ressources.
Le nom du rôle que vous créez pour la tâche doit commencer par la chaîne AWSGlueServiceRole
pour qu'il soit utilisé correctement par AWS Glue Studio. Par exemple, vous pouvez donner un nom à votre rôleAWSGlueServiceRole-FlightDataJob
.
Autorisations de source et de cible de données
Un AWS Glue Studio Le travail doit avoir accès à Amazon S3 pour toutes les sources, cibles, scripts et répertoires temporaires que vous utilisez dans le cadre de votre travail. Vous pouvez créer une politique pour fournir un accès détaillé à des ressources Amazon S3 spécifiques.
-
Les sources de données nécessitent les autorisations
s3:ListBucket
ets3:GetObject
. -
Les sources de données nécessitent les autorisations
s3:ListBucket
,s3:PutObject
ets3:DeleteObject
.
Note
Votre IAM politique doit autoriser s3:GetObject
les compartiments spécifiques utilisés pour héberger des AWS Glue transformations.
Les compartiments suivants appartiennent au compte de AWS service et sont lisibles dans le monde entier. Ces compartiments servent de référentiel pour le code source correspondant à un sous-ensemble de transformations accessibles via l'éditeur AWS Glue Studio visuel. Les autorisations sur le compartiment sont configurées pour refuser toute autre API action sur le compartiment. Tout le monde peut lire les scripts que nous fournissons pour les transformations, mais personne en dehors de notre équipe de service ne peut y « mettre » quoi que ce soit. Lorsque votre AWS Glue tâche s'exécute, ce fichier est extrait sous forme d'importation locale afin qu'il soit téléchargé dans le conteneur local. Après cela, il n'y a plus de communication avec ce compte.
Région : nom du compartiment
-
af-south-1 : -762339736633- aws-glue-studio-transforms -1 prod-af-south
-
ap-east-1 : -125979764932- aws-glue-studio-transforms -1 prod-ap-east
-
ap-northeast-2 : -673535381443- -2 aws-glue-studio-transforms prod-ap-northeast
-
ap-northeast-3 : -149976050262- -3 aws-glue-studio-transforms prod-ap-northeast
-
ap-south-1 : -584702181950- aws-glue-studio-transforms -1 prod-ap-south
-
ap-south-2 : -380279651983- -2 aws-glue-studio-transforms prod-ap-south
-
ap-southeast-1 : -737106620487- -1 aws-glue-studio-transforms prod-ap-southeast
-
ap-southeast-2 : -234881715811- -2 aws-glue-studio-transforms prod-ap-southeast
-
ap-southeast-3 : -151265630221- -3 aws-glue-studio-transforms prod-ap-southeast
-
ap-southeast-4 : -052235663858- -4 aws-glue-studio-transforms prod-ap-southeast
-
ca-central-1 : -622716468547- aws-glue-studio-transforms -1 prod-ca-central
-
ca-west-1 : -915795495192- aws-glue-studio-transforms -1 prod-ca-west
-
eu-central-1 : -560373232017- aws-glue-studio-transforms -1 prod-eu-central
-
aws-glue-studio-transformseu-central-2 : -907358657121- -2 prod-eu-central
-
eu-north-1 : -312557305497- -1 aws-glue-studio-transforms prod-eu-north
-
eu-south-1 : -939684186351- -1 aws-glue-studio-transforms prod-eu-south
-
eu-south-2 : -239737454084- -2 aws-glue-studio-transforms prod-eu-south
-
eu-west-1 : aws-glue-studio-transforms -244479516193- -1 prod-eu-west
-
eu-west-2 : aws-glue-studio-transforms -804222392271- -2 prod-eu-west
-
eu-west-3 : aws-glue-studio-transforms -371299348807- -3 prod-eu-west
-
aws-glue-studio-transformsil-central-1 : -806964611811- -1 prod-il-central
-
me-central-1 : -733304270342- aws-glue-studio-transforms -1 prod-me-central
-
me-south-1 : -112120182341- -1 aws-glue-studio-transforms prod-me-south
-
sa-east-1 : -881619130292- aws-glue-studio-transforms -1 prod-sa-east
-
us-east-1 : -510798373988- aws-glue-studio-transforms -1 prod-us-east
-
aws-glue-studio-transformsus-east-2 : -251189692203- -2 prod-us-east
-
us-west-1 : aws-glue-studio-transforms -593230150239- -1 prod-us-west
-
us-west-2 : aws-glue-studio-transforms -818035625594- -2 prod-us-west
-
ap-northeast-1 : -200493242866- -1 aws-glue-studio-transforms prod-ap-northeast
-
cn-north-1 : aws-glue-studio-transforms -071033555442- -1 prod-cn-north
-
cn-northwest-1 : -070947029561- -1 aws-glue-studio-transforms prod-cn-northwest
-
us-gov-west-1 : aws-glue-studio-transforms -227493901923- -1-2604 prod-us-gov-west
Si vous le souhaitez Amazon Redshift comme source de données, vous pouvez attribuer un rôle aux autorisations de cluster. Les tâches exécutées sur un Amazon Redshift cluster émettent des commandes qui accèdent à Amazon S3 pour un stockage temporaire à l'aide d'informations d'identification temporaires. Si votre tâche s'exécute pendant plus d'une heure, ces informations d'identification expirent, ce qui entraîne l'échec de la tâche. Pour éviter ce problème, vous pouvez attribuer un rôle au cluster Amazon Redshift lui-même qui accorde les autorisations nécessaires aux tâches utilisant des informations d'identification temporaires. Pour de plus amples informations, veuillez consulter la rubrique Déplacement de données vers et depuis Amazon Redshift dans le Guide du développeur AWS Glue .
Si la tâche utilise des sources de données ou des cibles autres qu'Amazon S3, vous devez attribuer les autorisations nécessaires au IAM rôle utilisé par la tâche pour accéder à ces sources de données et cibles. Pour de plus amples informations, veuillez consulter Configuration de votre environnement pour accéder aux magasins de données dans le Guide du développeur AWS Glue .
Si vous utilisez des connecteurs et des connexions pour votre magasin de données, vous avez besoin d'autorisations supplémentaires, comme décrit dans Autorisations requises pour l'utilisation de connecteurs.
Autorisations requises pour supprimer des tâches
Entrée AWS Glue Studio vous pouvez sélectionner plusieurs tâches à supprimer dans la console. Pour effectuer cette action, vous devez disposer de l'autorisation glue:BatchDeleteJob
. Ceci est différent du AWS Glue console, qui nécessite l'glue:DeleteJob
autorisation de supprimer des tâches.
AWS Key Management Service autorisations
Si vous prévoyez d'accéder aux sources et aux cibles Amazon S3 qui utilisent le chiffrement côté serveur avec AWS Key Management Service (AWS KMS), associez une politique au AWS Glue Studio rôle utilisé par la tâche qui permet à la tâche de déchiffrer les données. Le rôle de la tâche nécessite les autorisations kms:ReEncrypt
, kms:GenerateDataKey
et kms:DescribeKey
. En outre, le rôle professionnel doit être kms:Decrypt
autorisé à charger ou à télécharger un objet Amazon S3 chiffré à l'aide d'une clé principale AWS KMS du client (CMK).
L'utilisation entraîne des frais supplémentaires AWS KMS CMKs. Pour plus d'informations, consultez les sections AWS Key Management Service Concepts - Customer Master Keys (CMKs) et AWS Key Management Service Tarification
Autorisations requises pour l'utilisation de connecteurs
Si vous utilisez un AWS Glue Connecteur personnalisé et connexion pour accéder à un magasin de données, rôle utilisé pour exécuter le AWS Glue ETLle travail nécessite des autorisations supplémentaires attachées :
-
La politique AWS gérée
AmazonEC2ContainerRegistryReadOnly
pour accéder aux connecteurs achetés auprès de AWS Marketplace. -
Les autorisations
glue:GetJob
etglue:GetJobs
. -
AWS Secrets Manager autorisations d'accès aux secrets utilisés avec les connexions. Reportez-vous à Exemple : autorisation de récupérer des valeurs secrètes, par exemple IAM des politiques.
Si vos recettes AWS Glue ETLle travail s'exécute dans un Amazon VPC en cours d'exécutionVPC, puis VPC il doit être configuré comme décrit dansConfiguration d'un VPC pour votre tâche ETL.