Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 1: creare una policy IAM per il servizio AWS Glue
Per qualsiasi operazione che accede ai dati di un'altra risorsa AWS, ad esempio l'accesso agli oggetti in Amazon S3, AWS Glue richiede l'autorizzazione di accesso alla risorsa per tuo conto. È possibile fornire queste autorizzazioni usando AWS Identity and Access Management (IAM).
Nota
Puoi ignorare questa fase se usi la policy gestita AWS AWSGlueServiceRole.
In questa fase, crei una policy simile a AWSGlueServiceRole. Puoi trovare la versione più recente di AWSGlueServiceRole nella console IAM.
Per creare una policy IAM per AWS Glue
Questa policy concede l'autorizzazione per alcune operazioni Amazon S3 per gestire le risorse nell'account richieste da AWS Glue quando assume il ruolo usando la policy. Alcune delle risorse specificate nella policy fanno riferimento a nomi predefiniti usati da AWS Glue per i bucket Amazon S3, gli script ETL Amazon S3, le voci di CloudWatch Logs e le risorse Amazon EC2. Per semplicità, AWS Glue scrive alcuni oggetti Amazon S3 nei bucket nell'account con il prefisso aws-glue-* per impostazione predefinita.
Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione a sinistra seleziona Policies (Policy).
-
Scegliere Create Policy (Crea policy).
-
Nella schermata Create Policy (Crea policy), passa alla scheda per modificare JSON. Crea un documento di policy con le seguenti istruzioni JSON, quindi scegli Review policy (Verifica policy).
Nota
Aggiungi le autorizzazioni necessarie per le risorse Amazon S3. Potresti voler esplorare la sezione delle risorse della policy di accesso solo con le risorse necessarie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:*", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "cloudwatch:PutMetricData" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::aws-glue-*/*", "arn:aws:s3:::*/*aws-glue-*/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::crawler-public*", "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:AssociateKmsKey" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws-glue/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "aws-glue-service-resource" ] } }, "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:instance/*" ] } ] }La tabella seguente descrive le autorizzazioni concesse dalla policy.
Action Resource (Risorsa) Descrizione "glue:*""*"Concede l'autorizzazione per eseguire tutte le operazioni API AWS Glue.
"s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketAcl","*"Permette di elencare i bucket Amazon S3 da crawler, processi, endpoint di sviluppo e server notebook.
"ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute","*"Consente l'installazione di elementi di rete Amazon EC2, ad esempio cloud privati virtuali (VPC) durante l'esecuzione di processi, crawler ed endpoint di sviluppo.
"iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy""*"Permette di elencare i ruoli IAM da crawler, processi, endpoint di sviluppo e server notebook.
"cloudwatch:PutMetricData""*"Permette di scrivere i parametri CloudWatch per i processi.
"s3:CreateBucket", "s3:PutBucketPublicAccessBlock""arn:aws:s3:::aws-glue-*"Consente la creazione di bucket Amazon S3 nel tuo account da processi e server notebook.
Convenzione per la denominazione: utilizza cartelle Amazon S3 denominate aws-glue-.
Consente ad AWS Glue di creare i bucket che bloccano l'accesso pubblico.
"s3:GetObject", "s3:PutObject", "s3:DeleteObject""arn:aws:s3:::aws-glue-*/*", "arn:aws:s3:::*/*aws-glue-*/*"Permette di ottenere, inserire ed eliminare oggetti Amazon S3 nell'account quando vengono archiviati oggetti come script ETL e posizioni dei server notebook.
Convenzione per la denominazione: concede l'autorizzazione alle cartelle o ai bucket Amazon S3 i cui nomi hanno il prefisso aws-glue-.
"s3:GetObject""arn:aws:s3:::crawler-public*", "arn:aws:s3:::aws-glue-*"Permette di ottenere gli oggetti Amazon S3 usati da esempi e tutorial da crawler e processi.
Convenzione per la denominazione: i nomi di bucket Amazon S3 iniziano con crawler-public e aws-glue-.
"logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents""arn:aws:logs:*:*:log-group:/aws-glue/*"Consente di scrivere i log in CloudWatch Logs.
Convenzione di denominazione: AWS Glue scrive i log in gruppi di log i cui nomi iniziano con aws-glue.
"ec2:CreateTags", "ec2:DeleteTags""arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:instance/*"Consente il tagging delle risorse Amazon EC2 create per gli endpoint di sviluppo.
Convenzione di denominazione: AWS Glue applica i tag a interfacce di rete Amazon EC2, gruppi di sicurezza e istanze con aws-glue-service-resource.
-
Nella schermata Review Policy (Verifica policy), inserisci il Policy Name (Nome policy), ad esempio GlueServiceRolePolicy. Digita una descrizione facoltativa e, al termine, seleziona Create policy (Crea policy).
