Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Menggunakan Hibah Akses Amazon S3 dengan AWS Glue

PDF
RSS
Mode fokus
Menggunakan Hibah Akses Amazon S3 dengan AWS Glue - AWS Glue
Bagaimana AWS Glue bekerja dengan S3 Access GrantsS3 Access Memberikan pertimbangan dengan AWS GlueSiapkan Hibah Akses S3 dengan AWS Glue

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dengan Glue versi 5.0, Amazon S3 Access Grants menyediakan solusi kontrol akses yang dapat diskalakan yang dapat Anda gunakan untuk menambah akses ke data Amazon S3 Anda. AWS Glue Jika Anda memiliki konfigurasi izin yang kompleks atau besar untuk data S3, Anda dapat menggunakan S3 Access Grants untuk menskalakan izin data S3 bagi pengguna dan peran.

Gunakan Hibah Akses S3 untuk menambah akses ke data Amazon S3 di luar izin yang diberikan oleh peran runtime atau peran IAM yang dilampirkan ke identitas dengan akses ke pekerjaan Anda. AWS Glue Untuk informasi selengkapnya, lihat Mengelola akses dengan Hibah Akses S3 di Panduan Pengguna Amazon S3.

Bagaimana AWS Glue bekerja dengan S3 Access Grants

AWS Glue versi 5.0 dan yang lebih tinggi menyediakan integrasi asli dengan S3 Access Grants. Anda dapat mengaktifkan S3 Access Grants AWS Glue dan menjalankan pekerjaan Spark. Saat pekerjaan Spark membuat permintaan untuk data S3, Amazon S3 menyediakan kredenal sementara yang dicakup ke bucket, awalan, atau objek tertentu.

Berikut ini adalah ikhtisar tingkat tinggi tentang bagaimana AWS Glue mendapatkan akses ke data yang dikelola oleh S3 Access Grants.

Diagram menunjukkan ikhtisar tingkat tinggi tentang bagaimana AWS Glue mendapatkan akses ke data yang dikelola oleh S3 Access Grants.

  1. Pengguna mengirimkan pekerjaan AWS Glue Spark yang menggunakan data yang disimpan di Amazon S3.

  2. AWS Glue membuat permintaan S3 Access Grants untuk menjual kredenal sementara bagi pengguna yang memberikan akses ke bucket, awalan, atau objek.

  3. AWS Glue mengembalikan kredensi sementara dalam bentuk token AWS Security Token Service (STS) untuk pengguna. Token dicakup untuk mengakses bucket, awalan, atau objek S3.

  4. AWS Glue menggunakan token STS untuk mengambil data dari S3.

  5. AWS Glue menerima data dari S3 dan mengembalikan hasilnya ke pengguna.

S3 Access Memberikan pertimbangan dengan AWS Glue

Perhatikan perilaku dan batasan berikut saat Anda menggunakan S3 Access Grants dengan. AWS Glue

Dukungan fitur

  • S3 Access Grants didukung dengan AWS Glue versi 5.0 dan lebih tinggi.

  • Spark adalah satu-satunya jenis pekerjaan yang didukung saat Anda menggunakan S3 Access Grants dengan. AWS Glue

  • Delta Lake dan Hudi adalah satu-satunya format meja terbuka yang didukung saat Anda menggunakan S3 Access Grants dengan. AWS Glue

  • Kemampuan berikut tidak didukung untuk digunakan dengan S3 Access Grants:

    • Tabel Apache Iceberg

    • AWS Permintaan CLI ke Amazon S3 yang menggunakan peran IAM

    • Akses S3 melalui protokol S3A open-source

Pertimbangan perilaku

  • AWS Glue menyediakan cache kredensial untuk memastikan bahwa pengguna tidak perlu membuat permintaan berulang untuk kredensi yang sama dalam pekerjaan Spark. Oleh karena itu, AWS Glue selalu minta hak istimewa tingkat default saat meminta kredensional. Untuk informasi selengkapnya, lihat Meminta akses ke data S3 di Panduan Pengguna Amazon S3.

Siapkan Hibah Akses S3 dengan AWS Glue

Prasyarat

Penelepon atau admin telah membuat instance S3 Access Grants.

Menyiapkan AWS Glue kebijakan dan konfigurasi pekerjaan

Untuk menyiapkan Hibah Akses S3 dengan AWS Glue Anda harus mengonfigurasi kebijakan kepercayaan dan IAM, dan meneruskan konfigurasi melalui parameter pekerjaan.

  1. Konfigurasikan kepercayaan minimal dan kebijakan IAM berikut tentang peran yang digunakan untuk hibah ( AWS Glue peran yang menjalankan sesi atau pekerjaan).

    Kebijakan kepercayaan:

    {
            "Sid": "Stmt1234567891011",
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity",
                "sts:SetContext"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": "access-grants.s3.amazonaws.com"
            },
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:s3:<region>:123456789012:access-grants/default"
                }
            }
        }

    Kebijakan IAM:

    {
            "Sid": "S3Grants",
            "Effect": "Allow",
            "Action": [
                "s3:GetDataAccess",
                "s3:GetAccessGrantsInstanceForPrefix"
            ],
            "Resource": "arn:aws:s3:<region>:123456789012:access-grants/default"
        },
        {
            "Sid": "BucketLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                        "arn:aws:s3:<region>:123456789012:access-grants/default"
                    ]
                }
            }
        },
        {
            "Sid": "ObjectLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:GetObjectAcl",
                "s3:GetObjectVersionAcl",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                        "arn:aws:s3:<region>:123456789012:access-grants/default"
                    ]
                }
            }
        }

  2. Dalam AWS Glue pekerjaan Anda, lewati konfigurasi Spark berikut baik melalui parameter AWS Glue pekerjaan atauSparkConf.

    --conf spark.hadoop.fs.s3.s3AccessGrants.enabled=true \
--conf spark.hadoop.fs.s3.s3AccessGrants.fallbackToIAM=false

Di halaman ini

Related resources

AWS Glue DataBrew Panduan Pengembang
AWS CLI perintah untuk AWS Glue
SDKs & Alat 

Related resources

AWS Glue DataBrew Panduan Pengembang
AWS CLI perintah untuk AWS Glue
SDKs & Alat 
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.