As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Etapa 3: Defina as configurações de segurança
- IAM role (Perfil do IAM)
-
O crawler assume essa função. Ele deve ter permissões para a política
AWSGlueServiceRolegerenciada pela AWS. Para fontes do Amazon S3 e do DynamoDB, ele também deve ter permissões para acessar o datastore. Se o crawler ler os dados do Amazon S3 criptografados pelo AWS Key Management Service (AWS KMS), a função do IAM deverá ter permissão de descriptografia na chave do AWS KMS.Para um datastore do Amazon S3, permissões adicionais anexadas à função seriam semelhantes às seguintes:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket/object*" ] } ] }Para um datastore do Amazon DynamoDB, permissões adicionais anexadas à função seriam semelhantes às seguintes:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:Scan" ], "Resource": [ "arn:aws:dynamodb:region:account-id:table/table-name*" ] } ] }Para adicionar seu próprio driver JDBC, permissões adicionais precisam ser adicionadas.
-
Conceda permissões para as seguintes ações:
CreateJob,DeleteJob,GetJob,GetJobRun,StartJobRun. -
Conceda permissões para as ações do Amazon S3:
s3:DeleteObjects,s3:GetObject,s3:ListBucket,s3:PutObject.nota
s3:ListBucketnão é necessário se a política de buckets do Amazon S3 estiver desabilitada. -
Conceda acesso de entidade principal de serviço a bucket/pasta na política do Amazon S3.
Exemplo de política do Amazon S3:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:ListBucket", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::bucket-name/driver-parent-folder/driver.jar", "arn:aws:s3:::bucket-name" ] } ] }O AWS Glue cria as pastas a seguir (
_crawlere_glue_job_crawler) no mesmo nível do driver JDBC no bucket do Amazon S3. Por exemplo, se o caminho do driver for<s3-path/driver_folder/driver.jar>, as seguintes pastas serão criadas se ainda não existirem:-
<s3-path/driver_folder/_crawler>
-
<s3-path/driver_folder/_glue_job_crawler>
Opcionalmente, você pode adicionar uma configuração de segurança para um crawler para especificar opções de criptografia em repouso.
Para ter mais informações, consulte Etapa 2: criar um perfil do IAM para o AWS Glue e Gerenciamento de identidade e acesso para AWS Glue.
-
- Lake Formation configuration (Configuração do Lake Formation) - opcional
-
Permita que o crawler use credenciais do Lake Formation para fazer crawling na fonte de dados.
Marcar Use Lake Formation credentials for crawling S3 data source (Usar credenciais do Lake Formation para rastrear a fonte de dados do S3) permitirá que o crawler use as credenciais do Lake Formation para rastrear a fonte de dados. Se a fonte de dados pertencer a outra conta, você deve fornecer a ID da conta registrada. Senão, o crawler rastreará somente as fontes de dados associadas à conta. Aplicável somente às fontes de dados do Amazon S3 e do Data Catalog.
- Configuração de segurança - opcional
-
As configurações incluem configurações de segurança. Para obter mais informações, consulte as informações a seguir.
nota
Depois que uma configuração de segurança for definida em um crawler, você poderá alterá-la, mas não poderá removê-la. Para reduzir o nível de segurança em um crawler, defina explicitamente o recurso de segurança como
DISABLEDdentro da sua configuração ou crie um novo crawler.
