Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration des IAM autorisations pour AWS Glue
Les instructions de cette rubrique vous aident à configurer rapidement AWS Identity and Access Management (IAM) les autorisations pour AWS Glue. Vous réaliserez les tâches suivantes :
-
Accordez à vos IAM identités l'accès aux AWS Glue ressources.
-
Créez un rôle de service pour exécuter des tâches, accéder aux données et exécuter AWS Glue des tâches de qualité des données.
Pour obtenir des instructions détaillées que vous pouvez utiliser pour personnaliser IAM les autorisations AWS Glue, consultezConfiguration des IAM autorisations pour AWS Glue.
Pour configurer IAM des autorisations pour AWS GlueAWS Management Console
-
Connectez-vous à la AWS Glue console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/glue/
. -
Choisissez Mise en route.
-
Sous Préparer votre compte pour AWS Glue, choisissez Configurer IAM les autorisations.
-
Choisissez les IAM identités (rôles ou utilisateurs) auxquelles vous souhaitez accorder AWS Glue des autorisations. AWS Glue attache la politique
AWSGlueConsoleFullAccessgérée à ces identités. Vous pouvez ignorer cette étape si vous souhaitez définir ces autorisations manuellement ou uniquement définir une fonction du service par défaut. -
Choisissez Suivant.
-
Choisissez le niveau d'accès Amazon S3 dont vos rôles et utilisateurs ont besoin. Les options que vous choisissez à cette étape sont appliquées à toutes les identités que vous avez sélectionnées.
-
Sous Choisir les emplacements S3, choisissez les emplacements Amazon S3 auxquels vous souhaitez accorder l'accès.
-
Ensuite, indiquez si vos identités doivent avoir un accès en lecture seule (recommandé) ou en lecture et écriture aux emplacements que vous avez sélectionnés précédemment. AWS Glue ajoute des politiques d'autorisation à vos identités en fonction de la combinaison des emplacements et des autorisations de lecture ou d'écriture que vous sélectionnez.
Le tableau suivant indique les autorisations associées AWS Glue à l'accès à Amazon S3.
Si vous choisissez… AWS Glue attache... Pas de modification Aucune autorisation. AWS Glue n'apportera aucune modification aux autorisations de votre identité. Accorder l'accès à des emplacements Amazon S3 spécifiques (lecture seule) Une politique intégrée intégrée aux IAM identités que vous avez sélectionnées. Pour plus d'informations, consultez la section Politiques intégrées dans le guide de l'IAMutilisateur.
AWS Glue nomme la politique en utilisant la convention suivante :
AWSGlueConsole. olpPar exemple :<Role/User>InlinePolicy-read-specific-access-<UUID>AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123.Voici un exemple de politique intégrée qui AWS Glue s'attache à accorder un accès en lecture seule à un emplacement Amazon S3 spécifié.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] }Accorder l'accès à des emplacements Amazon S3 spécifiques (lecture et écriture) Une politique intégrée intégrée aux IAM identités que vous avez sélectionnées. Pour plus d'informations, consultez la section Politiques intégrées dans le guide de l'IAMutilisateur. AWS Glue nomme la politique en utilisant la convention suivante :
AWSGlueConsole. olpPar exemple :<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123.Voici un exemple de politique intégrée qui AWS Glue s'attache à accorder un accès en lecture et en écriture à des emplacements Amazon S3 spécifiés.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:*Object*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }Accorder un accès complet à Amazon S3 (lecture seule) La IAM politique AmazonS3ReadOnlyAccessgérée. Pour en savoir plus, consultez la politique AWS gérée : AmazonS3 ReadOnlyAccess.Accorder un accès complet à Amazon S3 (lecture et écriture) La IAM politique AmazonS3FullAccessgérée. Pour en savoir plus, consultez la politique AWS gérée : AmazonS3 FullAccess.
-
-
Choisissez Suivant.
-
Choisissez un rôle AWS Glue de service par défaut pour votre compte. Un rôle de service est un IAM rôle qui AWS Glue permet d'accéder aux ressources d'autres AWS services en votre nom. Pour de plus amples informations, veuillez consulter Fonctions du service pour AWS Glue.
-
Lorsque vous choisissez le rôle AWS Glue de service standard, AWS Glue crée un nouveau IAM rôle dans votre Compte AWS nom
AWSGlueServiceRoleavec les politiques gérées suivantes jointes. Si un IAM rôle est déjà nommé sur votre compteAWSGlueServiceRole, AWS Glue associez ces politiques au rôle existant.-
AWSGlueServiceRole
— Cette politique gérée est requise pour accéder AWS Glue aux ressources et les gérer en votre nom. Il permet AWS Glue de créer, de mettre à jour et de supprimer diverses ressources telles que des AWS Glue jobs, des crawlers et des connexions. Cette politique accorde également des autorisations pour accéder AWS Glue aux Amazon CloudWatch journaux à des fins de journalisation. Pour commencer, nous vous recommandons d'utiliser cette politique pour savoir comment l'utiliser AWS Glue. Au fur et à mesure que vous vous y AWS Glue habituerez, vous pourrez créer des politiques qui vous permettront d'ajuster l'accès aux ressources selon vos besoins. -
AmazonS3 FullAccess
— Cette politique gérée accorde les autorisations requises AWS Glue pour un accès complet en lecture et en écriture aux ressources Amazon S3. Cet accès étendu est souvent nécessaire car il AWS Glue peut être nécessaire d'interagir avec plusieurs compartiments et chemins Amazon S3 au cours de ses opérations. Pour commencer, nous vous recommandons d'utiliser cette politique pour savoir comment l'utiliser AWS Glue. Bien que la politique « AmazonS3 FullAccess » accorde des autorisations étendues, il est considéré comme une bonne pratique de suivre le principe du moindre privilège et d'accorder des autorisations plus restrictives si possible. Vous pouvez créer une IAM politique personnalisée qui accorde l'accès uniquement aux compartiments et chemins Amazon S3 spécifiques requis pour vos AWS Glue tâches, vos robots d'exploration et vos sources de données. Toutefois, cette approche nécessite davantage d'efforts pour gérer et mettre à jour la politique au fur et à mesure que votre AWS Glue utilisation évolue.
-
-
Lorsque vous choisissez un IAM rôle existant, AWS Glue définissez-le comme rôle par défaut, mais n'y ajoutez aucune autorisation. Assurez-vous d'avoir configuré le rôle à utiliser en tant que rôle de service pour AWS Glue. Pour plus d’informations, consultez Étape 1 : créer une politique IAM pour le service AWS Glue et Étape 2 : créer un IAM rôle pour AWS Glue.
-
-
Choisissez Suivant.
-
Enfin, passez en revue les autorisations que vous avez sélectionnées, puis choisissez Appliquer les modifications. Lorsque vous appliquez les modifications, AWS Glue ajoute IAM des autorisations aux identités que vous avez sélectionnées. Vous pouvez consulter ou modifier les nouvelles autorisations dans la IAM console à l'adresse https://console.aws.amazon.com/iam/
.
Vous avez maintenant terminé la configuration IAM des autorisations minimales pour AWS Glue. Dans un environnement de production, nous vous recommandons de vous familiariser avec les AWS ressources Sécurité dans AWS Glue adaptées Gestion des identités et des accès pour AWS Glue à votre cas d'utilisation et de vous aider à les sécuriser.
Étapes suivantes
Maintenant que IAM les autorisations sont configurées, vous pouvez explorer les rubriques suivantes pour commencer à les utiliser AWS Glue :
