Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni per utenti e ruoli per gli schemi AWS Glue
Di seguito sono riportati gli utenti tipici e le autorizzazioni AWS Identity and Access Management (IAM) suggerite per utenti e ruoli per i progetti AWS Glue.
Argomenti
Utenti dello schema
Di seguito sono riportati i utenti generalmente coinvolti nel ciclo di vita dei piani AWS Glue.
Utente | Descrizione |
---|---|
Sviluppatore AWS Glue | Sviluppa, verifica e pubblica progetti. |
Amministratore di AWS Glue | Registra, mantiene e concede le autorizzazioni per i piani. |
Analista dei dati | Esegue i piani per creare flussi di lavoro. |
Per ulteriori informazioni, consulta Panoramica degli schemi in AWS Glue.
Autorizzazioni per gli utenti dei piani
Di seguito sono riportate le autorizzazioni suggerite per ogni utente del piano.
Autorizzazioni per i progetti per lo sviluppatore di AWS Glue per gli schemi
Lo sviluppatore di AWS Glue deve disporre delle autorizzazioni di scrittura sul bucket Amazon S3 utilizzato per pubblicare il progetto. Spesso, lo sviluppatore registra il piano dopo averlo caricato. In tal caso, lo sviluppatore necessita delle autorizzazioni elencate in Autorizzazioni per i progetti per l'amministratore di AWS Glue per gli schemi. Inoltre, se lo sviluppatore desidera testare il piano dopo la registrazione, ha bisogno anche delle autorizzazioni elencate in Autorizzazioni per gli schemi per l'analista dati.
Autorizzazioni per i progetti per l'amministratore di AWS Glue per gli schemi
La policy seguente concede le autorizzazioni per la registrazione, la visualizzazione e la gestione dei progetti AWS Glue.
Importante
Nella policy riportata di seguito, sostituisci <s3-bucket-name>
e <prefix>
con il percorso Amazon S3 per gli archivi ZIP del piano caricati per la registrazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateBlueprint", "glue:UpdateBlueprint", "glue:DeleteBlueprint", "glue:GetBlueprint", "glue:ListBlueprints", "glue:BatchGetBlueprints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::
<s3-bucket-name>
/<prefix>
/*" } ] }
Autorizzazioni per gli schemi per l'analista dati
Il criterio seguente concede le autorizzazioni per eseguire i piani e per visualizzare il flusso di lavoro e i relativi i componenti risultanti. Concede inoltre PassRole
al ruolo che AWS Glue assume per creare il flusso di lavoro e i relativi componenti.
La policy concede le autorizzazioni su qualsiasi risorsa. Per configurare l'accesso granulare a singoli piani, utilizza il seguente formato per gli ARN del piano:
arn:aws:glue:
<region>
:<account-id>
:blueprint/<blueprint-name>
Importante
Nella policy riportata di seguito, sostituisci <account-id>
con un account AWS valido e sostituisci <role-name>
con il nome del ruolo utilizzato per eseguire un piano. Consulta Autorizzazioni per i ruoli degli schemi per le autorizzazioni richieste da questo ruolo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:ListBlueprints", "glue:GetBlueprint", "glue:StartBlueprintRun", "glue:GetBlueprintRun", "glue:GetBlueprintRuns", "glue:GetCrawler", "glue:ListTriggers", "glue:ListJobs", "glue:BatchGetCrawlers", "glue:GetTrigger", "glue:BatchGetWorkflows", "glue:BatchGetTriggers", "glue:BatchGetJobs", "glue:BatchGetBlueprints", "glue:GetWorkflowRun", "glue:GetWorkflowRuns", "glue:ListCrawlers", "glue:ListWorkflows", "glue:GetJob", "glue:GetWorkflow", "glue:StartWorkflowRun" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::
<account-id>
:role/<role-name>
" } ] }
Autorizzazioni per i ruoli degli schemi
Di seguito sono riportate le autorizzazioni suggerite per il ruolo IAM utilizzato per creare un flusso di lavoro da un piano. Il ruolo deve avere una relazione di trust con glue.amazonaws.com
.
Importante
Nella policy riportata di seguito, sostituisci <account-id>
con un account AWS valido e <role-name>
con il nome del ruolo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateJob", "glue:GetCrawler", "glue:GetTrigger", "glue:DeleteCrawler", "glue:CreateTrigger", "glue:DeleteTrigger", "glue:DeleteJob", "glue:CreateWorkflow", "glue:DeleteWorkflow", "glue:GetJob", "glue:GetWorkflow", "glue:CreateCrawler" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::
<account-id>
:role/<role-name>
" } ] }
Nota
Se i processi e i crawler nel flusso di lavoro assumono un ruolo diverso da questo, questa policy deve includere l'autorizzazione iam:PassRole
su quel ruolo invece che sul ruolo del piano.