As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conceitos básicos de cadernos no AWS Glue Studio
Ao iniciar um caderno por meio do AWS Glue Studio, todas as etapas de configuração são feitas para você, para que você possa explorar seus dados e começar a desenvolver seu script de trabalho após apenas alguns segundos.
As seções a seguir descrevem como criar um perfil e conceder as permissões apropriadas para usar cadernos do AWS Glue Studio para trabalhos de ETL.
Para obter mais informações sobre as ações definidas pelo AWS Glue, consulte Ações definidas pelo AWS Glue.
Conceder permissões para a função do IAM
A configuração do AWS Glue Studio é um pré-requisito para usar cadernos.
Para usar cadernos no AWS Glue, seu perfil exige o seguinte:
-
Uma relação de confiança com o AWS Glue para a ação
sts:AssumeRole, além dests:TagSessionse você quiser usar marcação. -
Uma política do IAM contendo todas as permissões para cadernos, AWS Glue e sessões interativas.
-
Uma política do IAM para uma função de transmissão, pois a função precisa ser capaz de repassar ela própria do caderno para sessões interativas.
Por exemplo, ao criar um novo perfil, você pode adicionar uma política gerenciada padrão do AWS como AWSGlueConsoleFullAccessRole a função, e depois adicionar uma nova política para as operações do caderno e outra para a política PassRole do IAM.
Ações necessárias para uma relação de confiança com o AWS Glue
Ao iniciar uma sessão de caderno, deve adicionar sts:AssumeRole ao relacionamento de confiança da função que é repassada ao caderno. Se a sessão incluir etiquetas, você também deve repassar a ação sts:TagSession. Sem essas ações, a sessão do caderno não pode começar.
Por exemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "glue.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Políticas contendo permissões do IAM para cadernos
O exemplo de política a seguir descreve as permissões necessárias do AWS IAM para os cadernos. Se você estiver criando um novo perfil, crie uma política que contenha o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:StartNotebook", "glue:TerminateNotebook", "glue:GlueNotebookRefreshCredentials", "glue:DeregisterDataPreview", "glue:GetNotebookInstanceStatus", "glue:GlueNotebookAuthorize" ], "Resource": "*" } ] }
É possível usar as seguintes políticas do IAM para permitir acesso a recursos específicos:
-
AwsGlueSessionUserRestrictedNotebookServiceRole: fornece acesso total a todos os recursos do AWS Glue, exceto para sessões. Permite que os usuários criem e usem somente as sessões de caderno que estejam associadas ao usuário. Essa política também inclui outras permissões exigidas pelo AWS Glue para gerenciar recursos do AWS Glue em outros serviços da AWS.
-
AwsGlueSessionUserRestrictedNotebookPolicy: fornece permissões que permitem que os usuários criem e usem somente as sessões de caderno associadas ao usuário. Essa política também inclui permissões para permitir explicitamente que os usuários transmitam uma função de sessão restrita do AWS Glue.
Política do IAM para uma aprovar um perfil
Quando você cria um caderno com uma função, essa função é transmitida para sessões interativas, de modo que a mesma função possa ser usada em ambos os lugares. Por isso, a permissão iam:PassRole precisa fazer parte da política da função.
Crie uma nova política para seu perfil usando o exemplo a seguir. Substitua o número da conta e pelo seu próprio e pelo nome do perfil.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::090000000210:role/<role_name>" } ] }
