Configuration des autorisations IAM pour AWS Glue - AWS Glue
Étapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des autorisations IAM pour AWS Glue

Les instructions de cette rubrique vous aident à configurer rapidement des autorisations AWS Identity and Access Management (IAM) pour AWS Glue. Vous réaliserez les tâches suivantes :

  • Accordez à vos identités IAM l'accès aux AWS Glue ressources.

  • Créez un rôle de service pour exécuter des tâches, accéder aux données et exécuter AWS Glue des tâches de qualité des données.

Pour obtenir des instructions détaillées que vous pouvez utiliser pour personnaliser les autorisations IAM AWS Glue, consultezConfiguration des autorisations IAM pour AWS Glue.

Pour configurer les autorisations IAM pour AWS GlueAWS Management Console

  1. Connectez-vous à la AWS Glue console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/glue/.

  2. Choisissez Mise en route.

  3. Sous Préparer votre compte pour AWS Glue, choisissez Configurer les autorisations IAM.

  4. Choisissez les identités IAM (rôles ou utilisateurs) auxquelles vous souhaitez accorder AWS Glue des autorisations. AWS Glue attache la politique AWSGlueConsoleFullAccess gérée à ces identités. Vous pouvez ignorer cette étape si vous souhaitez définir ces autorisations manuellement ou uniquement définir une fonction du service par défaut.

  5. Choisissez Suivant.

  6. Choisissez le niveau d'accès Amazon S3 dont vos rôles et utilisateurs ont besoin. Les options que vous choisissez à cette étape sont appliquées à toutes les identités que vous avez sélectionnées.

    1. Sous Choisir les emplacements S3, choisissez les emplacements Amazon S3 auxquels vous souhaitez accorder l'accès.

    2. Ensuite, indiquez si vos identités doivent avoir un accès en lecture seule (recommandé) ou en lecture et écriture aux emplacements que vous avez sélectionnés précédemment. AWS Glue ajoute des politiques d'autorisation à vos identités en fonction de la combinaison des emplacements et des autorisations de lecture ou d'écriture que vous sélectionnez.

      Le tableau suivant indique les autorisations associées AWS Glue à l'accès à Amazon S3.

      Si vous choisissez… AWS Glue attache...
      Pas de modification Aucune autorisation. AWS Glue n'apportera aucune modification aux autorisations de votre identité.
      Accorder l'accès à des emplacements Amazon S3 spécifiques (lecture seule)

      Une politique en ligne intégrée aux identités IAM que vous avez sélectionnées. Pour plus d'informations, consultez la rubrique Politiques en ligne dans le guide de l'utilisateur IAM.

      AWS Glue nomme la politique en utilisant la convention suivante :AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>. olpPar exemple : AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123.

      Voici un exemple de politique intégrée qui AWS Glue s'attache à accorder un accès en lecture seule à un emplacement Amazon S3 spécifié.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
      Accorder l'accès à des emplacements Amazon S3 spécifiques (lecture et écriture) Une politique en ligne intégrée aux identités IAM que vous avez sélectionnées. Pour plus d'informations, consultez la rubrique Politiques en ligne dans le guide de l'utilisateur IAM.

      AWS Glue nomme la politique en utilisant la convention suivante :AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>. olpPar exemple : AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123.

      Voici un exemple de politique intégrée qui AWS Glue s'attache à accorder un accès en lecture et en écriture à des emplacements Amazon S3 spécifiés.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*",
                "s3:*Object*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}
      Accorder un accès complet à Amazon S3 (lecture seule) La politique IAM gérée AmazonS3ReadOnlyAccess. Pour en savoir plus, consultez la politique AWS gérée : AmazonS3 ReadOnlyAccess.
      Accorder un accès complet à Amazon S3 (lecture et écriture) La politique IAM gérée AmazonS3FullAccess. Pour en savoir plus, consultez la politique AWS gérée : AmazonS3 FullAccess.

  7. Choisissez Suivant.

  8. Choisissez un rôle AWS Glue de service par défaut pour votre compte. Un rôle de service est un rôle IAM qui AWS Glue permet d'accéder aux ressources d'autres AWS services en votre nom. Pour de plus amples informations, veuillez consulter Fonctions du service pour AWS Glue.

    • Lorsque vous choisissez le rôle de AWS Glue service standard, vous AWS Glue créez un nouveau rôle IAM dans votre Compte AWS nom AWSGlueServiceRole avec les politiques gérées suivantes jointes. Si votre compte possède déjà un rôle IAM nomméAWSGlueServiceRole, AWS Glue associe ces politiques au rôle existant.

      • AWSGlueServiceRole— Cette politique gérée est requise pour accéder AWS Glue aux ressources et les gérer en votre nom. Il permet AWS Glue de créer, de mettre à jour et de supprimer diverses ressources telles que des AWS Glue jobs, des crawlers et des connexions. Cette politique accorde également des autorisations pour accéder AWS Glue aux Amazon CloudWatch journaux à des fins de journalisation. Pour commencer, nous vous recommandons d'utiliser cette politique pour savoir comment l'utiliser AWS Glue. Au fur et à mesure que vous vous y AWS Glue habituerez, vous pourrez créer des politiques qui vous permettront d'ajuster l'accès aux ressources selon vos besoins.

      • AmazonS3 FullAccess — Cette politique gérée accorde les autorisations requises AWS Glue pour un accès complet en lecture et en écriture aux ressources Amazon S3. Cet accès étendu est souvent nécessaire car il AWS Glue peut être nécessaire d'interagir avec plusieurs compartiments et chemins Amazon S3 au cours de ses opérations. Pour commencer, nous vous recommandons d'utiliser cette politique pour savoir comment l'utiliser AWS Glue.

        Bien que la politique « AmazonS3 FullAccess » accorde des autorisations étendues, il est considéré comme une bonne pratique de suivre le principe du moindre privilège et d'accorder des autorisations plus restrictives si possible. Vous pouvez créer une politique IAM personnalisée qui accorde l'accès uniquement aux compartiments et chemins Amazon S3 spécifiques requis pour vos AWS Glue tâches, vos robots d'exploration et vos sources de données. Toutefois, cette approche nécessite davantage d'efforts pour gérer et mettre à jour la politique au fur et à mesure que votre AWS Glue utilisation évolue.

    • Lorsque vous choisissez un rôle IAM existant, le AWS Glue définit comme rôle par défaut, mais n'y ajoute aucune autorisation. Assurez-vous d'avoir configuré le rôle à utiliser en tant que rôle de service pour AWS Glue. Pour plus d’informations, consultez Étape 1 : créer une politique IAM pour AWS Glue web et Étape 2 : créer un rôle IAM pour AWS Glue.

  9. Choisissez Suivant.

  10. Enfin, passez en revue les autorisations que vous avez sélectionnées, puis choisissez Appliquer les modifications. Lorsque vous appliquez les modifications, AWS Glue ajoute des autorisations IAM aux identités que vous avez sélectionnées. Vous pouvez consulter ou modifier les nouvelles autorisations dans la console IAM à https://console.aws.amazon.com/iam/l'adresse.

Vous avez maintenant terminé la configuration des autorisations IAM minimales pour AWS Glue. Dans un environnement de production, nous vous recommandons de vous familiariser avec les AWS ressources Sécurité dans AWS Glue adaptées Gestion des identités et des accès pour AWS Glue à votre cas d'utilisation et de vous aider à les sécuriser.

Étapes suivantes

Maintenant que les autorisations IAM sont configurées, vous pouvez explorer les rubriques suivantes pour commencer à utiliser AWS Glue :