Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vérifiez IAM les autorisations nécessaires pour l'AWS Glue Studioutilisateur
Pour l'utiliserAWS Glue Studio, l'utilisateur doit avoir accès à différentes AWS ressources. L'utilisateur doit être en mesure de visualiser et de sélectionner des compartiments, des IAM politiques, des rôles et des AWS Glue Data Catalog objets Amazon S3.
Autorisations de service AWS Glue
AWS Glue Studio utilise les actions et les ressources du service AWS Glue. Votre utilisateur a besoin d'autorisations sur ces actions et ressources pour utiliser efficacement AWS Glue Studio. Vous pouvez allouer à l'utilisateur de AWS Glue Studio la politique gérée AWSGlueConsoleFullAccess, ou créer une politique personnalisée avec un ensemble d’autorisations plus restreint.
Important
Conformément aux bonnes pratiques en matière de sécurité, il est recommandé de restreindre l'accès en limitant les politiques afin de réduire davantage l'accès au compartiment Amazon S3 et aux groupes de journaux Amazon CloudWatch . Pour un exemple de politique Amazon S3, consultez Writing IAM Policies : How to Grant Access to an Amazon S3 bucket
Création de IAM politiques personnalisées pour AWS Glue Studio
Vous pouvez créer une politique personnalisée avec un ensemble d'autorisations plus réduit pour AWS Glue Studio. La politique peut accorder des autorisations pour un sous-ensemble d'objets ou d'actions. Utilisez les informations suivantes lors de la création d'une politique personnalisée.
Pour utiliser le AWS Glue StudioAPIs, incluez glue:UseGlueStudio dans la politique d'action vos IAM autorisations. L'utilisation vous glue:UseGlueStudio permettra d'accéder à toutes les AWS Glue Studio actions même si d'autres actions sont ajoutées au API fil du temps.
Pour plus d'informations sur les actions définies par AWS Glue, consultez la section Actions définies par AWS Glue.
Préparation des données et création d'actions
-
SendRecipeAction
-
GetRecipeAction
Graphe acyclique dirigé (DAG) Actions
-
CreateDag
-
UpdateDag
-
GetDag
-
DeleteDag
Actions associées aux tâches
-
SaveJob
-
GetJob
-
CreateJob
-
DeleteJob
-
GetJobs
-
UpdateJob
Actions associées à l'exécution des tâches
-
StartJobRun
-
GetJobRuns
-
BatchStopJobRun
-
GetJobRun
-
QueryJobRuns
-
QueryJobs
-
QueryJobRunsAggregated
Actions associées aux schémas
-
GetSchema
-
GetInferredSchema
Actions associées aux bases de données
-
GetDatabases
Actions associées aux plans
-
GetPlan
Actions associées aux tableaux
-
SearchTables
-
GetTables
-
GetTable
Actions associées aux connexions
-
CreateConnection
-
DeleteConnection
UpdateConnection
-
GetConnections
-
GetConnection
Actions associées au mappage
-
GetMapping
Actions associées aux proxy S3
-
ListBuckets
-
ListObjectsV2
-
GetBucketLocation
Actions associées aux configurations de sécurité
-
GetSecurityConfigurations
Actions associées aux scripts
-
CreateScript (différent API du même nom dansAWS Glue)
Accès AWS Glue Studio APIs
Pour y accéderAWS Glue Studio, ajoutez glue:UseGlueStudio la liste des politiques d'actions dans les IAM autorisations.
Dans l'exemple ci-dessous, glue:UseGlueStudio est inclus dans la politique d'action, mais AWS Glue Studio APIs ils ne sont pas identifiés individuellement. En effet, lorsque vous incluezglue:UseGlueStudio, vous êtes automatiquement autorisé à accéder à l'interne APIs sans avoir à spécifier la personne AWS Glue Studio APIs dans les IAM autorisations.
Dans l'exemple, les politiques d'action supplémentaires répertoriées (par exemple,glue:SearchTables) ne le sont pas AWS Glue StudioAPIs, elles devront donc être incluses dans les IAM autorisations selon les besoins. Vous pouvez également inclure des actions de proxy Amazon S3 pour spécifier le niveau d'accès Amazon S3 à accorder. L'exemple de politique ci-dessous permet d'ouvrirAWS Glue Studio, de créer une tâche visuelle et de l'enregistrer/de l'exécuter si le IAM rôle sélectionné dispose d'un accès suffisant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "glue:UseGlueStudio", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "glue:SearchTables", "glue:GetConnections", "glue:GetJobs", "glue:GetTables", "glue:BatchStopJobRun", "glue:GetSecurityConfigurations", "glue:DeleteJob", "glue:GetDatabases", "glue:CreateConnection", "glue:GetSchema", "glue:GetTable", "glue:GetMapping", "glue:CreateJob", "glue:DeleteConnection", "glue:CreateScript", "glue:UpdateConnection", "glue:GetConnection", "glue:StartJobRun", "glue:GetJobRun", "glue:UpdateJob", "glue:GetPlan", "glue:GetJobRuns", "glue:GetTags", "glue:GetJob", "glue:QueryJobRuns", "glue:QueryJobs", "glue:QueryJobRunsAggregated", "glue:SendRecipeAction", "glue:GetRecipeAction" ], "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] }
Autorisations relative au bloc-notes et à la prévisualisation des données
Les prévisualisations de données et les blocs-notes vous autorisent à visualiser un échantillon de vos données à n'importe quelle étape de votre tâche (lecture, transformation, écriture), sans avoir à exécuter le travail. Vous spécifiez un rôle AWS Identity and Access Management (IAM) AWS Glue Studio à utiliser lors de l'accès aux données. IAMles rôles sont censés être assumables et ne sont pas associés à des informations d'identification standard à long terme telles qu'un mot de passe ou des clés d'accès. Au lieu de cela, when AWS Glue Studio assume le rôle, lui IAM fournit des informations d'identification de sécurité temporaires.
Pour s'assurer que les prévisualisations de données et les commandes du bloc-notes fonctionnent correctement, utilisez un rôle dont le nom commence par la chaîne AWSGlueServiceRole. Si vous choisissez d'utiliser un autre nom pour votre rôle, vous devez ajouter l'iam:passroleautorisation et configurer une politique pour le rôle dansIAM. Pour de plus amples informations, veuillez consulter Créez une politique IAM pour les rôles qui ne sont pas nommés « AWSGlueServiceRole* ».
Avertissement
Si un rôle accorde l'autorisation iam:passrole pour un bloc-notes et que vous mettez en œuvre le chaînage des rôles, un utilisateur pourrait accéder involontairement à ce bloc-notes. Actuellement, aucun système d'audit n'est mis en place pour vous vous permettre de contrôler les utilisateurs qui ont été autorisés à accéder au bloc-notes.
Si vous souhaitez refuser à une IAM identité la possibilité de créer des sessions de prévisualisation des données, consultez l'exemple suivantRefus de la possibilité de créer des sessions d’aperçu des données à une identité.
Autorisations Amazon CloudWatch
Vous pouvez surveiller vos AWS Glue Studio tâches à l'aide Amazon CloudWatch d' near-real-time indicateurs lisibles qui AWS Glue collectent et traitent les données brutes. Par défaut, AWS Glue les données des métriques sont envoyées CloudWatch automatiquement à. Pour plus d'informations, consultez Qu'est-ce qu'Amazon CloudWatch ? dans le guide de CloudWatch l'utilisateur Amazon, et AWS GlueMetrics dans le guide du AWS Glue développeur.
Pour accéder aux CloudWatch tableaux de bord, l'utilisateur AWS Glue Studio doit disposer de l'un des éléments suivants :
-
La politique
AdministratorAccess -
La politique
CloudWatchFullAccess -
Une politique personnalisée qui inclut une ou plusieurs de ces autorisations spécifiques :
-
cloudwatch:GetDashboardetcloudwatch:ListDashboardspour afficher les tableaux de bord -
cloudwatch:PutDashboardpour pouvoir créer ou modifier des tableaux de bord -
cloudwatch:DeleteDashboardspour supprimer des tableaux de bord
-
Pour plus d'informations sur la modification des autorisations d'un IAM utilisateur à l'aide de politiques, consultez la section Modification des autorisations d'un IAM utilisateur dans le guide de IAM l'utilisateur.
