Langkah 3: Konfigurasikan pengaturan keamanan - AWS Glue

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 3: Konfigurasikan pengaturan keamanan

IAMperan

Crawler mengambil peran ini. Itu harus memiliki izin yang mirip dengan kebijakan AWS AWSGlueServiceRole terkelola. Untuk sumber Amazon S3 dan DynamoDB, ia juga harus memiliki izin untuk mengakses penyimpanan data. Jika crawler membaca data Amazon S3 yang dienkripsi AWS Key Management Service dengan AWS KMS(), maka peran tersebut harus memiliki izin dekripsi pada kunci. AWS KMS

Untuk penyimpanan data Amazon S3, izin tambahan yang dilampirkan pada peran akan mirip dengan berikut ini: 

{
   "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
              "s3:GetObject",
              "s3:PutObject"
          ],
          "Resource": [
              "arn:aws:s3:::bucket/object*"
          ]
        }
    ]
}

Untuk penyimpanan data Amazon DynamoDB, izin tambahan yang dilampirkan pada peran akan mirip dengan berikut ini: 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "dynamodb:DescribeTable",
        "dynamodb:Scan"
      ],
      "Resource": [
        "arn:aws:dynamodb:region:account-id:table/table-name*"
      ]
    }
  ]
}

Untuk menambahkan JDBC driver Anda sendiri, izin tambahan perlu ditambahkan.

  • Berikan izin untuk tindakan pekerjaan berikut:CreateJob,,DeleteJob, GetJobGetJobRun,StartJobRun.

  • Berikan izin untuk tindakan Amazon S3s3:DeleteObjects:s3:GetObject,,,s3:ListBucket. s3:PutObject

    catatan

    Tidak s3:ListBucket diperlukan jika kebijakan bucket Amazon S3 dinonaktifkan.

  • Berikan akses utama layanan ke ember/folder dalam kebijakan Amazon S3.

Contoh kebijakan Amazon S3: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/driver-parent-folder/driver.jar",
                "arn:aws:s3:::bucket-name"
            ]
        }
    ]
}

AWS Glue membuat folder berikut (_crawlerdan _glue_job_crawler pada tingkat yang sama dengan JDBC driver di bucket Amazon S3 Anda. Misalnya, jika jalur driver<s3-path/driver_folder/driver.jar>, maka folder berikut akan dibuat jika belum ada:

  • <s3-path/driver_folder/_crawler>

  • <s3-path/driver_folder/_glue_job_crawler>

Opsional, Anda dapat menambahkan konfigurasi keamanan untuk sebuah crawler untuk menentukan opsi enkripsi secara at-rest.

Untuk informasi selengkapnya, silakan lihat Langkah 2: Buat IAM peran untuk AWS Glue dan Manajemen identitas dan akses untuk AWS Glue.

Konfigurasi Lake Formation - opsional

Izinkan crawler menggunakan kredensil Lake Formation untuk merayapi sumber data.

Memeriksa kredenal Gunakan Lake Formation untuk merayapi sumber data S3 akan memungkinkan crawler menggunakan kredenal Lake Formation untuk merayapi sumber data. Jika sumber data milik akun lain, Anda harus memberikan ID akun terdaftar. Jika tidak, crawler hanya akan merayapi sumber data yang terkait dengan akun tersebut. Hanya berlaku untuk sumber data Amazon S3 dan Katalog Data.

Konfigurasi keamanan - opsional

Pengaturan termasuk konfigurasi keamanan. Untuk informasi selengkapnya, lihat berikut ini:

catatan

Setelah konfigurasi keamanan diatur pada crawler, Anda dapat mengubahnya, tetapi Anda tidak dapat menghapusnya. Untuk menurunkan tingkat keamanan pada crawler, setel fitur keamanan secara eksplisit ke DISABLED dalam konfigurasi Anda, atau buat crawler baru.