Etapa 2: criar um perfil do IAM para o AWS Glue

Para criar um perfil do IAM para o AWS Glue

1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação à esquerda, escolha Roles.

3. Selecione Criar função.

4. Escolha Serviço da AWS como o tipo de entidade confiável. Em seguida, para o serviço ou caso de uso, encontre e escolha AWS Glue. Escolha Próximo.

5. Na página Adicionar permissões, escolha as políticas que contêm as permissões necessárias. Por exemplo, a política gerenciada pela AWS AWSGlueServiceRole para permissões gerais do AWS Glue e a política gerenciada pela AWS AmazonS3FullAccess para acesso a recursos do Amazon S3. Em seguida, escolha Próximo.

   nota

   Verifique se uma das políticas nessa função concede permissões aos seus destinos e fontes do Amazon S3. Convém fornecer sua própria política de acesso a recursos específicos do Amazon S3. As fontes de dados exigem permissões s3:ListBucket e s3:GetObject. Os destinos de dados exigem permissões s3:ListBucket, s3:PutObject e s3:DeleteObject. Para obter mais informações sobre como criar uma política do Amazon S3 para os seus recursos, consulte Especificar recursos em uma política. Para obter um exemplo de política do Amazon S3, consulte Gravar políticas do IAM: como conceder acesso a um bucket do Amazon S3.

   Se você pretende acessar as fontes e os destinos do Amazon S3 que foram criptografados com SSE-KMS, anexe uma política que permita que os crawlers, os trabalhos e os endpoints de desenvolvimento do AWS Glue descriptografem os dados. Para obter mais informações, consulte Proteção de dados usando criptografia do lado do servidor com chaves gerenciadas pelo AWS KMS (SSE-KMS).

   Veja um exemplo a seguir.

   {  
      "Version":"2012-10-17",
      "Statement":[  
         {  
            "Effect":"Allow",
            "Action":[  
               "kms:Decrypt"
            ],
            "Resource":[  
               "arn:aws:kms:*:account-id-without-hyphens:key/key-id"
            ]
         }
      ]
   }
   

6. Dê um nome à sua função e adicione uma descrição (opcional). Em seguida, revise a política de confiança e as permissões. Para Role name (Nome da função), digite um nome para sua função, por exemplo, AWSGlueServiceRoleDefault. Crie a função com um nome que tenha a string AWSGlueServiceRole como prefixo para permitir que a função seja transmitida dos usuários do console para o serviço. As políticas fornecidas pelo AWS Glue esperam que as funções de serviço do IAM comecem com AWSGlueServiceRole. Caso contrário, você precisará adicionar uma política para conceder aos seus usuários a permissão iam:PassRole para que as funções do IAM correspondam às suas conversões de nomenclatura. Selecione Criar função.

   nota

   Quando você cria um caderno com uma função, essa função é transmitida para sessões interativas, de modo que a mesma função possa ser usada em ambos os lugares. Por isso, a permissão iam:PassRole precisa fazer parte da política da função.

   Crie uma nova política para seu perfil usando o exemplo a seguir. Substitua o número da conta e pelo seu próprio e pelo nome do perfil.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::090000000210:role/<role_name>"
           }
       ]
   }
                           
                       

7. Adicione tags à sua regra (opcional). As tags são pares chave-valor que podem ser adicionados a recursos da AWS para ajudar a identificar, organizar ou pesquisar recursos. Depois, escolha Create role (Criar função).