Meninjau IAM izin yang diperlukan untuk pekerjaan ETL - AWS Glue
Izin sumber data dan target dataIzin yang diperlukan untuk menghapus tugasAWS Key Management Service izinIzin diperlukan untuk menggunakan konektor

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meninjau IAM izin yang diperlukan untuk pekerjaan ETL

Saat Anda membuat pekerjaan menggunakan AWS Glue Studio, pekerjaan mengasumsikan izin IAM peran yang Anda tentukan saat Anda membuatnya. IAMPeran ini harus memiliki izin untuk mengekstrak data dari sumber data Anda, menulis data ke target Anda, dan mengakses AWS Glue sumber daya.

Nama peran yang Anda buat untuk pekerjaan harus dimulai dengan string AWSGlueServiceRole agar dapat digunakan dengan benar AWS Glue Studio. Misalnya, Anda dapat menyebutkan nama peran AndaAWSGlueServiceRole-FlightDataJob.

Izin sumber data dan target data

Sesi AWS Glue Studio job harus memiliki akses ke Amazon S3 untuk sumber, target, skrip, dan direktori sementara apa pun yang Anda gunakan dalam pekerjaan Anda. Anda dapat membuat sebuah kebijakan untuk memberikan akses terperinci ke sumber daya Amazon S3 tertentu.

  • Sumber data memerlukan izin s3:ListBucket dan s3:GetObject.

  • Target data memerlukan izin s3:ListBucket, s3:PutObject, dan s3:DeleteObject.

catatan

IAMKebijakan Anda harus mengizinkan s3:GetObject bucket khusus yang digunakan untuk AWS Glue transformasi hosting.

Bucket berikut dimiliki oleh akun AWS layanan dan dapat dibaca di seluruh dunia. Bucket ini berfungsi sebagai repositori untuk kode sumber yang berkaitan dengan subset transformasi yang dapat diakses melalui editor visual. AWS Glue Studio Izin pada bucket diatur untuk menolak API tindakan lain di bucket. Siapa pun dapat membaca skrip yang kami sediakan untuk transformasi, tetapi tidak ada orang di luar tim layanan kami yang dapat “memasukkan” apa pun di dalamnya. Saat AWS Glue pekerjaan Anda berjalan, file tersebut ditarik sebagai impor lokal sehingga file diunduh ke wadah lokal. Setelah itu, tidak ada komunikasi lebih lanjut dengan akun itu.

Wilayah: Nama ember

  • af-south-1: -762339736633- -1 aws-glue-studio-transforms prod-af-south

  • ap-east-1: -125979764932 aws-glue-studio-transforms - -1 prod-ap-east

  • ap-northeast-2: -673535381443- -2 aws-glue-studio-transforms prod-ap-northeast

  • ap-northeast-3: -149976050262- -3 aws-glue-studio-transforms prod-ap-northeast

  • aws-glue-studio-transformsap-south-1: -584702181950- -1 prod-ap-south

  • aws-glue-studio-transformsap-south-2: -380279651983- -2 prod-ap-south

  • ap-southeast-1: -737106620487- -1 aws-glue-studio-transforms prod-ap-southeast

  • ap-southeast-2: -234881715811- -2 aws-glue-studio-transforms prod-ap-southeast

  • ap-southeast-3: -151265630221- -3 aws-glue-studio-transforms prod-ap-southeast

  • ap-southeast-4: -052235663858- -4 aws-glue-studio-transforms prod-ap-southeast

  • ca-central-1: -622716468547- -1 aws-glue-studio-transforms prod-ca-central

  • ca-west-1: -915795495192- aws-glue-studio-transforms -1 prod-ca-west

  • eu-central-1: -560373232017- -1 aws-glue-studio-transforms prod-eu-central

  • eu-central-2: -907358657121- -2 aws-glue-studio-transforms prod-eu-central

  • eu-north-1: -312557305497- -1 aws-glue-studio-transforms prod-eu-north

  • eu-south-1: -939684186351- -1 aws-glue-studio-transforms prod-eu-south

  • eu-south-2: -239737454084- -2 aws-glue-studio-transforms prod-eu-south

  • eu-west-1: -244479516193- aws-glue-studio-transforms -1 prod-eu-west

  • eu-west-2: -804222392271- aws-glue-studio-transforms -2 prod-eu-west

  • eu-west-3: -371299348807- aws-glue-studio-transforms -3 prod-eu-west

  • aws-glue-studio-transformsil-central-1: -806964611811- -1 prod-il-central

  • saya-central-1: -733304270342- -1 aws-glue-studio-transforms prod-me-central

  • me-south-1: -112120182341- -1 aws-glue-studio-transforms prod-me-south

  • aws-glue-studio-transformssa-east-1: -881619130292- -1 prod-sa-east

  • aws-glue-studio-transformsus-east-1: -510798373988- -1 prod-us-east

  • us-east-2: -251189692203- -2 aws-glue-studio-transforms prod-us-east

  • us-west-1: -593230150239- aws-glue-studio-transforms -1 prod-us-west

  • us-west-2: -818035625594- -2 aws-glue-studio-transforms prod-us-west

  • ap-northeast-1: -200493242866- -1 aws-glue-studio-transforms prod-ap-northeast

  • cn-utara-1: -071033555442- -1 aws-glue-studio-transforms prod-cn-north

  • cn-barat laut-1: -070947029561- -1 aws-glue-studio-transforms prod-cn-northwest

  • us-gov-west-1: aws-glue-studio-transforms -227493901923- -1-2604 prod-us-gov-west

Jika Anda memilih Amazon Redshift sebagai sumber data, Anda dapat memberikan peran untuk izin klaster. Pekerjaan yang dijalankan terhadap perintah masalah Amazon Redshift klaster yang mengakses Amazon S3 untuk penyimpanan sementara menggunakan kredensil sementara. Jika tugas Anda berjalan selama lebih dari satu jam, maka kredensial ini akan kedaluwarsa dan akan menyebabkan tugas gagal. Untuk menghindari masalah ini, Anda dapat menetapkan sebuah peran untuk klaster Amazon Redshift itu sendiri yang memberikan izin yang diperlukan untuk tugas tersebut dengan menggunakan kredensial sementara. Untuk informasi selengkapnya, lihat Memindahkan Data ke dan dari Amazon Redshift di Panduan Developer AWS Glue .

Jika pekerjaan menggunakan sumber data atau target selain Amazon S3, maka Anda harus melampirkan izin yang diperlukan ke IAM peran yang digunakan oleh pekerjaan untuk mengakses sumber dan target data ini. Untuk informasi selengkapnya, lihat Menyiapkan Lingkungan Anda untuk Mengakses Penyimpanan Data di Panduan Developer AWS Glue .

Jika Anda menggunakan konektor dan koneksi untuk penyimpanan data Anda, maka Anda memerlukan izin tambahan, seperti yang dijelaskan di Izin diperlukan untuk menggunakan konektor.

Izin yang diperlukan untuk menghapus tugas

Masuk AWS Glue Studio Anda dapat memilih beberapa pekerjaan di konsol untuk dihapus. Untuk melakukan tindakan ini, Anda harus memiliki izin glue:BatchDeleteJob. Ini berbeda dari AWS Glue konsol, yang memerlukan glue:DeleteJob izin untuk menghapus pekerjaan.

AWS Key Management Service izin

Jika Anda berencana untuk mengakses sumber Amazon S3 dan target yang menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS), lampirkan kebijakan ke AWS Glue Studio peran yang digunakan oleh pekerjaan yang memungkinkan pekerjaan untuk mendekripsi data. Peran tugas membutuhkan izin kms:ReEncrypt, kms:GenerateDataKey, dan kms:DescribeKey. Selain itu, peran pekerjaan memerlukan kms:Decrypt izin untuk mengunggah atau mengunduh objek Amazon S3 yang dienkripsi dengan kunci master AWS KMS pelanggan (). CMK

Ada biaya tambahan untuk penggunaan AWS KMS CMKs. Untuk informasi selengkapnya, lihat AWS Key Management Service Konsep - Kunci Master Pelanggan (CMKs) dan AWS Key Management Service Harga di Panduan AWS Key Management Service Pengembang.

Izin diperlukan untuk menggunakan konektor

Jika Anda menggunakan AWS Glue Konektor Kustom dan koneksi untuk mengakses penyimpanan data, peran yang digunakan untuk menjalankan AWS Glue ETLpekerjaan membutuhkan izin tambahan terlampir:

  • Kebijakan AWS terkelola AmazonEC2ContainerRegistryReadOnly untuk mengakses konektor yang dibeli dari AWS Marketplace.

  • Izin glue:GetJob dan glue:GetJobs.

  • AWS Secrets Manager izin untuk mengakses rahasia yang digunakan dengan koneksi. Lihat Contoh: Izin untuk mengambil nilai rahasia misalnya IAM kebijakan.

Jika AWS Glue ETLpekerjaan berjalan dalam Amazon yang VPC sedang berjalanVPC, maka VPC harus dikonfigurasi seperti yang dijelaskan dalamKonfigurasikan VPC untuk pekerjaan ETL Anda.