Mise en route avec les blocs-notes dans AWS Glue Studio

Lorsque vous démarrez un bloc-notes via AWS Glue Studio, toutes les étapes de configuration sont effectuées pour vous afin que vous puissiez explorer vos données et commencer à développer votre script de tâche après quelques secondes seulement.

Les sections suivantes décrivent comment créer un rôle et accorder les autorisations appropriées pour utiliser des blocs-notes dans le cadre AWS Glue Studio de ETL tâches.

Pour plus d'informations sur les actions définies par AWS Glue, voir Actions définies par AWS Glue.

Rubriques

Octroi d'autorisations pour le IAM rôle

Octroi d'autorisations pour le IAM rôle

La configuration de AWS Glue Studio est une condition préalable à l'utilisation de carnets de notes.

Pour utiliser des blocs-notes dans AWS Glue, votre rôle nécessite les éléments suivants :

Une relation d'approbation avec AWS Glue pour l'action sts:AssumeRole et, si vous voulez lui attribuer une étiquette, alors sts:TagSession.
Une IAM politique contenant toutes les autorisations pour les blocs-notes et AWS Glue les sessions interactives.
Une IAM politique pour un rôle de passe, car le rôle doit être capable de passer lui-même du bloc-notes aux sessions interactives.

Par exemple, lorsque vous créez un nouveau rôle, vous pouvez ajouter une stratégie AWS gérée standard similaire AWSGlueConsoleFullAccessRole au rôle, puis ajouter une nouvelle stratégie pour les opérations du bloc-notes et une autre pour la IAM PassRole stratégie.

Actions nécessaires pour une relation d'approbation avec AWS Glue

Lorsque vous démarrez une séance de bloc-notes, vous devez ajouter sts:AssumeRole à la relation d'approbation du rôle transmis au bloc-notes. Si votre séance inclut des identifications, vous devez également transmettre l'action sts:TagSession. Sans ces actions, la séance de bloc-notes ne peut pas démarrer.

Par exemple :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "glue.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Politiques contenant des IAM autorisations pour les blocs-notes

L'exemple de politique suivant décrit les AWS IAM autorisations requises pour les ordinateurs portables. Si vous créez un rôle, créez une politique contenant les éléments suivants :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:StartNotebook",
                "glue:TerminateNotebook",
                "glue:GlueNotebookRefreshCredentials",
                "glue:DeregisterDataPreview",
                "glue:GetNotebookInstanceStatus",
                "glue:GlueNotebookAuthorize"
            ],
            "Resource": "*"
        }
    ]
}

Vous pouvez utiliser les IAM politiques suivantes pour autoriser l'accès à des ressources spécifiques :

AwsGlueSessionUserRestrictedNotebookServiceRole: fournit un accès complet à toutes les AWS Glue ressources, à l'exception des sessions. Permet aux utilisateurs de créer et d'utiliser uniquement les séances de bloc-notes associées à l'utilisateur. Cette politique inclut également d'autres autorisations nécessaires AWS Glue pour gérer les AWS Glue ressources d'autres AWS services.
AwsGlueSessionUserRestrictedNotebookPolicy: fournit des autorisations qui permettent aux utilisateurs de créer et d'utiliser uniquement les sessions de bloc-notes associées à l'utilisateur. Cette politique inclut également des autorisations permettant explicitement aux utilisateurs de passer un rôle de séance AWS Glue restreint.

IAMpolitique de transfert d'un rôle

Lorsque vous créez un bloc-notes avec un rôle, ce rôle est ensuite transmis à des séances interactives afin que le même rôle puisse être utilisé aux deux endroits. En tant que tel, l'autorisation iam:PassRole doit faire partie de la politique du rôle.

Créez une politique pour votre rôle à l'aide de l'exemple suivant. Remplacez le numéro de compte par le vôtre et le nom du rôle.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::090000000210:role/<role_name>"
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration d'un VPC pour votre tâche ETL

Configuration des profils d'utilisation