Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 2: Creare un IAM ruolo per AWS Glue
Devi concedere al tuo IAM ruolo le autorizzazioni che AWS Glue puoi concedere quando chiami altri servizi per tuo conto. Ciò include l'accesso ad Amazon S3 per le origini, le destinazioni, gli script e le directory temporanee che usi con AWS Glue. Le autorizzazioni sono necessarie per crawler, processi ed endpoint di sviluppo.
Fornisci tali autorizzazioni utilizzando AWS Identity and Access Management ()IAM. Aggiungi una politica al IAM ruolo a AWS Glue cui passi.
Per creare un IAM ruolo perAWS Glue
Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione a sinistra seleziona Ruoli.
-
Scegliere Crea ruolo.
-
Scegli il AWS servizio come tipo di entità affidabile. Quindi, per servizio o caso d'uso, trova e scegli AWS Glue. Scegli Next (Successivo).
-
Nella pagina Aggiungi autorizzazioni, scegli le politiche che contengono le autorizzazioni richieste; ad esempio, la politica gestita per le autorizzazioni generali AWS Glue e la politica AWS gestita AmazonS3
AWSGlueServiceRoleper l' AWS accesso FullAccess alle risorse Amazon S3. Quindi scegli Successivo.Nota
Verifica che una delle policy in questo ruolo conceda le autorizzazioni per le origini e le destinazioni Amazon S3. Puoi fornire una policy personalizzata per l'accesso a risorse Amazon S3 specifiche. Le origini dati richiedono le autorizzazioni
s3:ListBucketes3:GetObject. Le destinazioni dati richiedono le autorizzazionis3:ListBucket,s3:PutObjectes3:DeleteObject. Per ulteriori informazioni sulla creazione di una policy Amazon S3 per le risorse, vedi Specificare le risorse in una policy. Per un esempio di policy di Amazon S3, consulta Writing IAM Policies: How to Grant Access to an Amazon S3Bucket. Se prevedi di accedere a sorgenti e destinazioni Amazon S3 crittografate con SSE -KMS, allega una policy che consenta AWS Glue ai crawler, ai job e agli endpoint di sviluppo di decrittografare i dati. Per ulteriori informazioni, consulta Protezione dei dati mediante la crittografia lato server con -Managed Keys (-). AWS KMS SSE KMS
Di seguito è riportato un esempio.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] } -
Assegna un nome al tuo ruolo e aggiungi una descrizione (opzionale), quindi rivedi la politica di fiducia e le autorizzazioni. Per Role name (Nome ruolo), digita un nome per il ruolo, ad esempio
AWSGlueServiceRoleDefault. Crea il ruolo con il nome preceduto dalla stringaAWSGlueServiceRoleper consentire il trasferimento del ruolo dagli utenti della console al servizio. AWS Gluele politiche fornite prevedono che i ruoli IAM di servizio inizino conAWSGlueServiceRole. In caso contrario, è necessario aggiungere una politica per consentire agli utenti l'iam:PassRoleautorizzazione affinché IAM i ruoli corrispondano alla convenzione di denominazione. Selezionare Create Role (Crea ruolo).Nota
Quando crei un notebook con un ruolo, tale ruolo viene passato alle sessioni interattive in modo che lo stesso ruolo possa essere utilizzato in entrambe le posizioni. Come tale, il permesso
iam:PassRoledeve essere parte della policy del ruolo.Crea una nuova policy per il tuo ruolo utilizzando l'esempio seguente. Sostituisci il numero di account con il tuo e il nome del ruolo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::090000000210:role/<role_name>" } ] } -
Aggiungi tag al tuo ruolo (opzionale). I tag sono coppie chiave-valore che puoi aggiungere alle AWS risorse per identificare, organizzare o cercare risorse. Quindi seleziona Create role (Crea ruolo).
