ETL ジョブに必要なIAMアクセス許可を確認する - AWS Glue
データソースとデータターゲットのアクセス許可ジョブの削除に必要なアクセス許可AWS Key Management Service アクセス許可コネクタの使用に必要なアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ETL ジョブに必要なIAMアクセス許可を確認する

を使用してジョブを作成する場合 AWS Glue Studio、ジョブは、作成時に指定したIAMロールのアクセス許可を引き受けます。このIAMロールには、データソースからデータを抽出し、ターゲットにデータを書き込み、 AWS Glue リソースにアクセスするアクセス許可が必要です。

ジョブ用に作成するロールの名前は、 によって正しく使用される文字列で始AWSGlueServiceRoleまる必要があります。AWS Glue Studio。 例えば、ロール に名前を付けることができますAWSGlueServiceRole-FlightDataJob

データソースとデータターゲットのアクセス許可

An AWS Glue Studio ジョブには、ジョブで使用するソース、ターゲット、スクリプト、一時ディレクトリの Amazon S3 へのアクセス権が必要です。特定の Amazon S3 リソースにきめ細かいアクセス許可を付与するポリシーを作成できます。

  • データソースには、s3:ListBucket および s3:GetObject アクセス許可が必要です。

  • データターゲットには、s3:ListBuckets3:PutObject、および s3:DeleteObject アクセス許可が必要です。

注記

IAM ポリシーでは、 AWS Glue 変換のホストに使用される特定のバケットs3:GetObjectを許可する必要があります。

次のバケットは AWS サービスアカウントによって所有されており、世界中で読み取り可能です。これらのバケットは、 AWS Glue Studio ビジュアルエディタからアクセスできる変換のサブセットに関連するソースコードのリポジトリとして機能します。バケットのアクセス許可は、バケットの他のAPIアクションを拒否するように設定されます。変換用に提供しているこれらのスクリプトは誰でも読むことができますが、サービスチーム外のユーザーはその中に何も「入力」することができません。 AWS Glue ジョブが実行されると、そのファイルはローカルインポートとしてプルインされるため、ファイルはローカルコンテナにダウンロードされます。その後、そのアカウントとの通信はそれ以上行われません。

リージョン: バケット名

  • af-south-1: aws-glue-studio-transforms-762339736633prod-af-south--1

  • ap-east-1: aws-glue-studio-transforms-125979764932-prod-ap-east-1

  • ap-northeast-2: aws-glue-studio-transforms-673535381443prod-ap-northeast--2

  • ap-northeast-3: aws-glue-studio-transforms-149976050262-prod-ap-northeast-3

  • ap-south-1: aws-glue-studio-transforms-584702181950-prod-ap-south-1

  • ap-south-2: aws-glue-studio-transforms-380279651983prod-ap-south-2

  • ap-southeast-1: aws-glue-studio-transforms-737106620487-prod-ap-southeast-1

  • ap-southeast-2: aws-glue-studio-transforms-234881715811-prod-ap-southeast-2

  • ap-southeast-3: aws-glue-studio-transforms-151265630221-prod-ap-southeast-3

  • ap-southeast-4: aws-glue-studio-transforms-052235663858-prod-ap-southeast-4

  • ca-central-1: aws-glue-studio-transforms-622716468547-prod-ca-central-1

  • ca-west-1: aws-glue-studio-transforms-915795495192-prod-ca-west-1

  • eu-central-1: aws-glue-studio-transforms-560373232017-prod-eu-central-1

  • eu-central-2: aws-glue-studio-transforms-907358657121prod-eu-central-2

  • eu-north-1: aws-glue-studio-transforms-312557305497prod-eu-north-1

  • eu-south-1: aws-glue-studio-transforms-939684186351-prod-eu-south-1

  • eu-south-2: aws-glue-studio-transforms-239737454084prod-eu-south-2

  • eu-west-1: aws-glue-studio-transforms-244479516193prod-eu-west--1

  • eu-west-2: aws-glue-studio-transforms-804222392271prod-eu-west-2

  • eu-west-3: aws-glue-studio-transforms-371299348807-prod-eu-west-3

  • il-central-1: aws-glue-studio-transforms-806964611811-prod-il-central-1

  • me-central-1: aws-glue-studio-transforms-733304270342prod-me-central--1

  • me-south-1: aws-glue-studio-transforms-112120182341-prod-me-south-1

  • sa-east-1: aws-glue-studio-transforms-881619130292-prod-sa-east-1

  • us-east-1: aws-glue-studio-transforms-510798373988prod-us-east-1

  • us-east-2: aws-glue-studio-transforms-251189692203prod-us-east-2

  • us-west-1: aws-glue-studio-transforms-593230150239prod-us-west-1

  • us-west-2: aws-glue-studio-transforms-818035625594prod-us-west-2

  • ap-northeast-1: aws-glue-studio-transforms-200493242866-prod-ap-northeast-1

  • cn-north-1: aws-glue-studio-transforms-071033555442-prod-cn-north-1

  • cn-northwest-1: aws-glue-studio-transforms-070947029561-prod-cn-northwest-1

  • us-gov-west-1: aws-glue-studio-transforms-227493901923-prod-us-gov-west-1-2604

データソース Amazon Redshift として を選択した場合は、クラスターアクセス許可のロールを指定できます。 Amazon Redshift クラスターに対して実行されるジョブは、一時的な認証情報を使用して Amazon S3 for temporary storage にアクセスするコマンドを発行します。ジョブが 1 時間を超えて実行されると、これらの認証情報が期限切れになり、ジョブが失敗します。この問題を回避するために、一時的な認証情報を使用してジョブに必要なアクセス許可を付与するロールを Amazon Redshift クラスター自体に割り当てることができます。詳細については、AWS Glue データベースデベロッパーガイドから「Moving Data to and from Amazon Redshift」を参照してください。

ジョブが Amazon S3 以外のデータソースまたはターゲットを使用している場合は、ジョブが使用するIAMロールに必要なアクセス許可をアタッチして、これらのデータソースとターゲットにアクセスする必要があります。詳細については、AWS Glue デベロッパーガイドの「Setting Up Your Environment to Access Data Stores」を参照してください。

データストアにコネクタと接続を使用している場合は、追加のアクセス許可が必要です。詳細については、」コネクタの使用に必要なアクセス許可

ジョブの削除に必要なアクセス許可

In AWS Glue Studio コンソールで複数のジョブを選択して削除できます。このアクションを実行するには、glue:BatchDeleteJob アクセス許可が必要です。これは、AWS Glue コンソール。これには、ジョブを削除するためのglue:DeleteJobアクセス許可が必要です。

AWS Key Management Service アクセス許可

AWS Key Management Service (AWS KMS) でサーバー側の暗号化を使用する Amazon S3 ソースとターゲットにアクセスする場合は、 にポリシーをアタッチします。AWS Glue Studio ジョブがデータを復号化できるようにするジョブで使用されるロール。ジョブロールには、kms:ReEncryptkms:GenerateDataKey、および kms:DescribeKey のアクセス許可が必要です。さらに、ジョブロールには、 AWS KMS カスタマーマスターキー () で暗号化された Amazon S3 オブジェクトをアップロードまたはダウンロードするためのkms:Decryptアクセス許可が必要ですCMK。

の使用には追加料金がかかります AWS KMS CMKs。詳細については、AWS Key Management Service 「 デベロッパーガイド」の「コンセプト - カスタマーマスターキー (CMKs)」とAWS Key Management Service 「料金」を参照してください。 AWS Key Management Service

コネクタの使用に必要なアクセス許可

を使用している場合 AWS Glue データストアにアクセスするためのカスタムコネクタと接続、 の実行に使用されるロール AWS Glue ETL ジョブには、追加のアクセス許可がアタッチされている必要があります。

  • から購入したコネクタにアクセスAmazonEC2ContainerRegistryReadOnlyするためのAWS管理ポリシー AWS Marketplace。

  • glue:GetJob および glue:GetJobs アクセス許可。

  • AWS Secrets Manager 接続で使用されるシークレットにアクセスするためのアクセス許可。ポリシー例のシークレット値を取得するアクセス許可の例を参照してくださいIAM。

が AWS Glue ETL ジョブはVPC実行中の Amazon 内で実行されVPC、 の説明に従って を設定VPCする必要がありますETL ジョブの VPC を設定します