AWS Glue 用の IAM アクセス許可のセットアップ

AWS Management Console で AWS Glue の IAM アクセス許可をセットアップするには

1. AWS Management Consoleにサインインし、AWS Glue コンソール (https://console.aws.amazon.com/glue/) を開きます。

2. [開始方法] を選択します。

3. [AWS Glue のアカウントの準備] で、[IAM アクセス許可のセットアップ] を選択します。

4. AWS Glue アクセス許可を付与する IAM ID (ロールまたはユーザー) を選択します。AWS Glue は AWSGlueConsoleFullAccess マネージドポリシーをこれらの ID にアタッチします。これらのアクセス許可を手動で設定する場合、またはデフォルトのサービスロールを設定するだけでよい場合は、このステップをスキップできます。

5. [Next] を選択します。

6. ロールとユーザーが必要とする Amazon S3 アクセス権のレベルを選択します。このステップで選択したオプションは、選択したすべての ID に適用されます。

   1. [S3 ロケーションの選択] で、アクセスを許可する Amazon S3 ロケーションを選択します。

   2. 次に、上記で選択したロケーションに対して各 ID に付与するアクセス権を [読み取り専用] (推奨) にするか [読み取りおよび書き込み] にするかを選択します。AWS Glue は、選択した読み取りまたは書き込みアクセス許可とロケーションとの組み合わせに基づいて、アクセス許可ポリシーを ID に追加します。

      次の表は、AWS Glue が Amazon S3 アクセスに付与するアクセス許可を示しています。

      選択内容	AWS Glue がアタッチする内容
      変更なし	アクセス許可は付与されません。AWS Glue は ID のアクセス許可を何も変更しません。
      特定の Amazon S3 ロケーションへのアクセスを許可する (読み取り専用)	選択した IAM ID に埋め込まれたインラインポリシー。詳細については、「IAM ユーザーガイド」の「インラインポリシー」を参照してください。 AWS Glue は、次の規則を使用してポリシーに名前を付けます: AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>。例: AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123。 以下は、指定した Amazon S3 ロケーションへの読み取り専用アクセスを許可するように AWS Glue がアタッチするインラインポリシーの例です。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] }
      特定の Amazon S3 ロケーションへのアクセスを許可する (読み取りと書き込み)	選択した IAM ID に埋め込まれたインラインポリシー。詳細については、「IAM ユーザーガイド」の「インラインポリシー」を参照してください。 AWS Glue は、次の規則を使用してポリシーに名前を付けます: AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>。例: AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123。 以下は、指定した Amazon S3 ロケーションへの読み取りと書き込みアクセスを許可するように AWS Glue がアタッチするインラインポリシーの例です。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:*Object*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
      すべての Amazon S3 へのアクセスを許可する (読み取り専用)	AmazonS3ReadOnlyAccess マネージド IAM ポリシー。詳細については、「AWS マネージドポリシー: AmazonS3ReadOnlyAccess」を参照してください。
      すべての Amazon S3 へのアクセスを許可する (読み取りと書き込み)	AmazonS3FullAccess マネージド IAM ポリシー。詳細については、「AWS マネージドポリシー: AmazonS3FullAccess」を参照してください。

7. [Next] を選択します。

8. アカウントのデフォルトの AWS Glue サービスロールを選択します。サービスロールは、AWS Glue がユーザーに代わって他の AWS のサービスのリソースにアクセスするのに使用する IAM ロールです。詳細については、「AWS Glue のサービスロール」を参照してください。

   • 標準の AWS Glue サービスロールを選択すると、AWS Glue は AWS アカウント に新しい IAM ロールを AWSGlueServiceRole という名前で作成して、次のマネージドポリシーをアタッチします。アカウントに既に AWSGlueServiceRole という名前の IAM ロールがある場合は、AWS Glue はこれらのポリシーをその既存のロールにアタッチします。

     • AWSGlueServiceRole – この管理ポリシーは、AWS Glue がユーザーに代わってリソースにアクセスして管理するために必要です。これにより、AWS Glue は AWS Glue ジョブ、クローラー、接続などのさまざまなリソースを作成、更新、削除できます。このポリシーは、ログ記録の目的で Amazon CloudWatch ログにアクセスするための AWS Glue のアクセス許可も付与します。開始するには、このポリシーを使用して AWS Glue の使用方法を学ぶことをお勧めします。AWS Glue に慣れるにつれて、必要に応じてリソースへのアクセスを微調整できるポリシーを作成できます。

     • AmazonS3FullAccess – この管理ポリシーは、Amazon S3 リソースへの完全な読み取りおよび書き込みアクセスに必要なアクセス許可を AWS Glue に付与します。AWS Glue はオペレーション中に複数の Amazon S3 バケットとパスを操作する必要がある可能性があるため、この広範なアクセスが必要になることがよくあります。開始するには、このポリシーを使用して AWS Glue の使用方法を学ぶことをお勧めします。

       「AmazonS3FullAccess」ポリシーは幅広いアクセス許可を提供しますが、最小権限の原則に従い、可能であればより制限の厳しいアクセス許可を付与することがベストプラクティスと見なされます。AWS Glue ジョブ、クローラー、データソースに必要な特定の Amazon S3 バケットとパスにのみアクセスを許可するカスタム IAM ポリシーを作成できます。ただし、このアプローチでは、AWS Glue 使用状況の変化に応じてポリシーの管理と更新により多くの労力が必要です。

   • 既存の IAM ロールを選択すると、AWS Glue はそのロールをデフォルトとして設定しますが、アクセス許可は何も追加しません。ロールが AWS Glue のサービスロールとして使用されるように設定したことを確認してください。詳細については、ステップ 1: AWS Glue サービスの IAM ポリシーを作成するおよびステップ 2: AWS Glue 用の IAM ロールを作成するを参照してください。

9. [Next] を選択します。

10. 最後に、選択したアクセス許可を確認し、[変更を適用] を選択します。変更を適用すると、AWS Glue は選択した ID に IAM アクセス許可を追加します。IAM コンソール (https://console.aws.amazon.com/iam/) で新しいアクセス許可の表示や変更ができます。