Configurar permissões do IAM para o AWS Glue - AWS Glue
Próximas etapas

Configurar permissões do IAM para o AWS Glue

As instruções neste tópico ajudam você a configurar rapidamente as permissões AWS Identity and Access Management (IAM) para o AWS Glue. Você concluirá as seguintes tarefas:

  • Conceda às suas identidades do IAM acesso aos recursos do AWS Glue.

  • Crie um perfil de serviço para executar trabalhos, acessar dados e executar tarefas de qualidade do AWS Glue Data Quality.

Para obter instruções detalhadas que você pode usar para personalizar as permissões do IAM para o AWS Glue, consulte Configurar permissões do KMS para o AWS Glue.

Para configurar as permissões do IAM para AWS Glue no AWS Management Console

  1. Faça login no AWS Management Console e abra o console do AWS Glue em https://console.aws.amazon.com/glue/.

  2. Escolha Conceitos básicos.

  3. Em Preparar sua conta para o AWS Glue, escolha Configurar permissões do IAM.

  4. Escolha as identidades do IAM (perfis ou usuários) às quais você deseja conceder permissões do AWS Glue. O AWS Glue anexa a política gerenciada AWSGlueConsoleFullAccess a essas identidades. Você pode pular essa etapa se quiser definir essas permissões manualmente ou se quiser definir apenas um perfil de serviço padrão.

  5. Escolha Próximo.

  6. Escolha o nível de acesso ao Amazon S3 de que os perfis e usuários precisam. As opções escolhidas nessa etapa são aplicadas a todas as identidades selecionadas.

    1. Em Escolher locais do S3, escolha os locais do Amazon S3 aos quais você deseja conceder acesso.

    2. Em seguida, selecione se as identidades devem ter acesso de Somente leitura (recomendado) ou de Leitura e gravação aos locais que você selecionou anteriormente. O AWS Glue adiciona políticas de permissões às identidades com base na combinação dos locais e das permissões de leitura ou gravação que você seleciona.

      A tabela a seguir mostra as permissões que o AWS Glue anexa para acesso ao Amazon S3.

      Se você escolher... O AWS Glue anexará...
      Nenhuma alteração Nenhuma alteração. O AWS Glue não fará nenhuma alteração nas permissões da sua identidade.
      Conceder acesso a locais específicos do Amazon S3 (somente leitura)

      Uma política em linha incorporada nas identidades do IAM selecionadas. Para obter mais informações, consulte Políticas em linha no Guia do usuário do IAM.

      O AWS Glue atribui um nome à política usando a seguinte convenção: AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>. Por exemplo: AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123.

      Este é exemplo de uma política em linha que o AWS Glue anexa para conceder acesso somente leitura a um local específico do Amazon S3.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
      Conceder acesso a locais específicos do Amazon S3 (leitura e gravação) Uma política em linha incorporada nas identidades do IAM selecionadas. Para obter mais informações, consulte Políticas em linha no Guia do usuário do IAM.

      O AWS Glue atribui um nome à política usando a seguinte convenção: AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>. Por exemplo: AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123.

      Este é exemplo de uma política em linha que é AWS Glue anexada para conceder acesso de leitura e gravação a locais específicos do Amazon S3.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*",
                "s3:*Object*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}
      Conceder total acesso ao Amazon S3 (somente leitura) A política do IAM gerenciada AmazonS3ReadOnlyAccess. Para saber mais, consulte a política gerenciada pela AWS: AmazonS3ReadOnlyAccess.
      Conceder total acesso ao Amazon S3 (leitura e gravação) A política do IAM gerenciada AmazonS3FullAccess. Para saber mais, consulte a política gerenciada pela AWS: AmazonS3FullAccess.

  7. Escolha Próximo.

  8. Escolha perfil de serviço padrão do AWS Glue para sua conta. Um perfil de serviço é um perfil do IAM que é o AWS Glue usada para acessar recursos em outros serviços da AWS em seu nome. Para ter mais informações, consulte Perfis de serviço do AWS Glue.

    • Ao escolher perfil de serviço padrão do AWS Glue, o AWS Glue cria um novo perfil do IAM na sua Conta da AWS denominado AWSGlueServiceRole com as seguintes políticas gerenciadas anexadas. Se sua conta já tiver um perfil do IAM denomiado AWSGlueServiceRole, o AWS Glue anexa essas políticas ao perfil existente.

      • AwsGlueServiceRole: essa política gerenciada é necessária para que o AWS Glue possa acessar e gerenciar recursos em seu nome. Ela permite ao AWS Glue criar, atualizar e excluir vários recursos, como AWS Glue trabalhos, crawlers e conexões. Também concede permissões ao AWS Glue para acessar logs Amazon CloudWatch para fins de registro em log. Para começar, recomendamos usar essa política para aprender a usar o AWS Glue. À medida que você se familiarizar com o AWS Glue, poderá criar políticas que permitem ajustar o acesso aos recursos conforme necessário.

      • AmazonS3FullAccess: essa política gerenciada concede ao AWS Glue as permissões necessárias para acesso completo de leitura e gravação aos recursos do Amazon S3. Esse amplo acesso geralmente é necessário, porque o AWS Glue pode precisar interagir com vários buckets e caminhos do Amazon S3 durante as operações. Para começar, recomendamos usar essa política para aprender a usar o AWS Glue.

        Embora a política “Amazons3FullAccess” forneça amplas permissões, é considerado uma prática recomendada seguir o princípio do privilégio mínimo e conceder permissões mais restritivas se possível. Você pode criar uma política personalizada do IAM que conceda acesso somente aos buckets e caminhos específicos do Amazon S3 necessários para seus trabalhos, crawlers e fontes de dados do AWS Glue. No entanto, essa abordagem exige mais esforço no gerenciamento e na atualização da política à medida que o uso do AWS Glue evolui.

    • Quando você escolhe um perfil do IAM existente, o AWS Glue o define como padrão, mas não adiciona a ele nenhuma permissão. Verifique se você configurou o perfil a ser usado como um perfil de serviço do AWS Glue. Para ter mais informações, consulte Etapa 1: criar uma política do IAM para o serviço AWS Glue e Etapa 2: criar um perfil do IAM para o AWS Glue.

  9. Escolha Próximo.

  10. Por fim, revise as permissões que você selecionou e escolha Aplicar alterações. Ao aplicar as alterações, o AWS Glue adiciona permissões do IAM às identidades que você selecionou. Você pode visualizar ou modificar as novas permissões no console do IAM em https://console.aws.amazon.com/iam/.

Você agora concluiu a configuração de permissões mínimas do IAM para o AWS Glue. Em um ambiente de produção, recomendamos que você se familiarize com o Segurança no AWS Glue e o Gerenciamento de identidade e acesso do AWS Glue para ajudar a proteger os recursos da AWS para seu caso de uso.

Próximas etapas

Agora que tem as permissões do IAM configuradas, você pode explorar os seguintes tópicos para começar a usar o AWS Glue: