Menyiapkan IAM izin untuk AWS Glue - AWS Glue
Langkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan IAM izin untuk AWS Glue

Petunjuk dalam topik ini membantu Anda dengan cepat mengatur AWS Identity and Access Management (IAM) izin untuk AWS Glue. Anda akan menyelesaikan tugas-tugas berikut:

  • Berikan IAM identitas Anda akses ke AWS Glue sumber daya.

  • Buat peran layanan untuk menjalankan pekerjaan, mengakses data, dan menjalankan tugas Kualitas AWS Glue Data.

Untuk petunjuk terperinci yang dapat Anda gunakan untuk menyesuaikan IAM izin AWS Glue, lihatMengkonfigurasi IAM izin untuk AWS Glue.

Untuk mengatur IAM izin untuk AWS Glue di AWS Management Console

  1. Masuk ke AWS Management Console dan buka AWS Glue konsol di https://console.aws.amazon.com/glue/.

  2. Pilih Memulai.

  3. Di bawah Siapkan akun Anda AWS Glue, pilih Siapkan IAM izin.

  4. Pilih IAM identitas (peran atau pengguna) yang ingin Anda berikan AWS Glue izin. AWS Glue melampirkan kebijakan yang AWSGlueConsoleFullAccess dikelola pada identitas ini. Anda dapat melewati langkah ini jika Anda ingin mengatur izin ini secara manual atau hanya ingin menetapkan peran layanan default.

  5. Pilih Berikutnya.

  6. Pilih tingkat akses Amazon S3 yang dibutuhkan peran dan pengguna Anda. Opsi yang Anda pilih dalam langkah ini diterapkan ke semua identitas yang Anda pilih.

    1. Di bawah Pilih lokasi S3, pilih lokasi Amazon S3 yang ingin Anda akses.

    2. Selanjutnya, pilih apakah identitas Anda harus memiliki akses Baca saja (disarankan) atau Baca dan tulis ke lokasi yang sebelumnya Anda pilih. AWS Glue menambahkan kebijakan izin ke identitas Anda berdasarkan kombinasi lokasi dan izin baca atau tulis yang Anda pilih.

      Tabel berikut menampilkan izin yang AWS Glue dilampirkan untuk akses Amazon S3.

      Jika Anda memilih... AWS Glue menempel...
      Tidak ada perubahan Tidak ada izin. AWS Glue tidak akan membuat perubahan apa pun pada izin identitas Anda.
      Berikan akses ke lokasi Amazon S3 tertentu (hanya baca)

      Kebijakan inline yang disematkan dalam IAM identitas yang Anda pilih. Untuk informasi selengkapnya, lihat Kebijakan sebaris di Panduan IAM Pengguna.

      AWS Glue menamai kebijakan menggunakan konvensi berikut:AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>. Sebagai contoh: AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123.

      Berikut ini adalah contoh kebijakan sebaris yang AWS Glue dilampirkan untuk memberikan akses hanya-baca ke lokasi Amazon S3 yang ditentukan.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
      Berikan akses ke lokasi Amazon S3 tertentu (baca dan tulis) Kebijakan inline yang disematkan dalam IAM identitas yang Anda pilih. Untuk informasi selengkapnya, lihat Kebijakan sebaris di Panduan IAM Pengguna.

      AWS Glue menamai kebijakan menggunakan konvensi berikut:AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>. Sebagai contoh: AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123.

      Berikut ini adalah contoh kebijakan sebaris yang AWS Glue dilampirkan untuk memberikan akses baca dan tulis ke lokasi Amazon S3 yang ditentukan.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*",
                "s3:*Object*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}
      Berikan akses penuh ke Amazon S3 (hanya baca) IAMKebijakan yang AmazonS3ReadOnlyAccess dikelola. Untuk mempelajari selengkapnya, lihat kebijakan AWS terkelola: ReadOnlyAccess AmazonS3.
      Berikan akses penuh ke Amazon S3 (baca dan tulis) IAMKebijakan yang AmazonS3FullAccess dikelola. Untuk mempelajari selengkapnya, lihat kebijakan AWS terkelola: FullAccess AmazonS3.

  7. Pilih Berikutnya.

  8. Pilih peran AWS Glue layanan default untuk akun Anda. Peran layanan adalah IAM peran yang AWS Glue digunakan untuk mengakses sumber daya di AWS layanan lain atas nama Anda. Untuk informasi selengkapnya, lihat Peran layanan untuk AWS Glue.

    • Bila Anda memilih peran AWS Glue layanan standar, AWS Glue buat IAM peran baru dalam Akun AWS nama Anda AWSGlueServiceRole dengan kebijakan terkelola berikut yang dilampirkan. Jika akun Anda sudah memiliki nama IAM peranAWSGlueServiceRole, AWS Glue lampirkan kebijakan ini ke peran yang ada.

      • AWSGlueServiceRoleKebijakan terkelola ini diperlukan AWS Glue untuk mengakses dan mengelola sumber daya atas nama Anda. Ini memungkinkan AWS Glue untuk membuat, memperbarui, dan menghapus berbagai sumber daya seperti AWS Glue pekerjaan, crawler, dan koneksi. Kebijakan ini juga memberikan izin untuk mengakses Amazon CloudWatch log AWS Glue untuk tujuan pencatatan. Untuk tujuan memulai, sebaiknya gunakan kebijakan ini untuk mempelajari cara menggunakannya AWS Glue. Saat Anda merasa lebih nyaman AWS Glue, Anda dapat membuat kebijakan yang memungkinkan Anda menyempurnakan akses ke sumber daya sesuai kebutuhan.

      • AmazonS3 FullAccess - Kebijakan terkelola ini memberikan izin yang diperlukan AWS Glue untuk akses baca dan tulis lengkap ke sumber daya Amazon S3. Akses luas ini seringkali diperlukan karena AWS Glue mungkin perlu berinteraksi dengan beberapa bucket dan jalur Amazon S3 selama operasinya. Untuk tujuan memulai, sebaiknya gunakan kebijakan ini untuk mempelajari cara menggunakannya AWS Glue.

        Meskipun kebijakan `AmazonS3 FullAccess `memberikan izin yang luas, itu dianggap sebagai praktik terbaik untuk mengikuti prinsip hak istimewa terkecil dan memberikan izin yang lebih ketat jika memungkinkan. Anda dapat membuat IAM kebijakan khusus yang hanya memberikan akses ke bucket dan jalur Amazon S3 tertentu yang diperlukan untuk pekerjaan, crawler, dan sumber data AWS Glue Anda. Namun, pendekatan ini membutuhkan lebih banyak upaya dalam mengelola dan memperbarui kebijakan seiring berkembangnya AWS Glue penggunaan Anda.

    • Saat Anda memilih IAM peran yang ada, AWS Glue tetapkan peran sebagai default, tetapi tidak menambahkan izin apa pun ke peran tersebut. Pastikan Anda telah mengonfigurasi peran yang akan digunakan sebagai peran layanan AWS Glue. Untuk informasi selengkapnya, silakan lihat Langkah 1: Buat kebijakan IAM untuk layanan AWS Glue dan Langkah 2: Buat IAM peran untuk AWS Glue.

  9. Pilih Berikutnya.

  10. Terakhir, tinjau izin yang Anda pilih lalu pilih Terapkan perubahan. Saat Anda menerapkan perubahan, AWS Glue tambahkan IAM izin ke identitas yang Anda pilih. Anda dapat melihat atau memodifikasi izin baru di IAM konsol di https://console.aws.amazon.com/iam/.

Anda sekarang telah menyelesaikan pengaturan IAM izin minimum untuk AWS Glue. Dalam lingkungan produksi, kami menyarankan Anda membiasakan diri dengan Keamanan di AWS Glue dan Identity and access management untuk AWS Glue membantu Anda mengamankan AWS sumber daya untuk kasus penggunaan Anda.

Langkah selanjutnya

Sekarang setelah Anda memiliki IAM izin yang disiapkan, Anda dapat menjelajahi topik-topik berikut untuk mulai menggunakan AWS Glue: