檢閱ETL任務所需的IAM許可 - AWS Glue
資料來源和資料目標許可刪除任務所需的許可AWS Key Management Service 許可使用連接器所需的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢閱ETL任務所需的IAM許可

當您使用 建立任務時 AWS Glue Studio,任務會取得IAM您在建立角色時指定的角色許可。此IAM角色必須具有從資料來源擷取資料、將資料寫入目標和存取 AWS Glue 資源的許可。

您為任務建立的角色名稱必須以字串開頭AWSGlueServiceRole,以供 正確使用 AWS Glue Studio。 例如,您可以為您的角色命名 AWSGlueServiceRole-FlightDataJob

資料來源和資料目標許可

同時 AWS Glue Studio 任務必須能夠存取您在任務中使用的任何來源、目標、指令碼和臨時目錄 Amazon S3。您可以建立政策,對特定 Amazon S3 資源提供精細存取。

  • 資料來源需要 s3:ListBuckets3:GetObject 許可。

  • 資料目標需要 s3:ListBuckets3:PutObjects3:DeleteObject 許可。

注意

您的IAM政策需要允許用於託管 AWS Glue 轉換s3:GetObject的特定儲存貯體。

下列儲存貯體為 AWS 服務帳戶所擁有,且可供全球讀取。這些儲存貯體做為來源程式碼的儲存庫,該程式碼與可透過 AWS Glue Studio 視覺化編輯器存取的轉換子集相關。儲存貯體上的許可設定為拒絕儲存貯體上的任何其他API動作。任何人都可以讀取我們為轉換提供的指令碼,但服務團隊以外的任何人都無法對其中的任何內容進行「輸出」。當您 AWS Glue 的任務執行時,該檔案會作為本機匯入提取,以便將檔案下載至本機容器。之後,就不會再與該帳戶進行通訊。

區域:儲存貯體名稱

  • af-south-1: aws-glue-studio-transforms-762339736633-prod-af-south-1

  • ap-east-1: aws-glue-studio-transforms-125979764932-prod-ap-east-1

  • ap-northeast-2: aws-glue-studio-transforms-673535381443-prod-ap-northeast-2

  • ap-northeast-3: aws-glue-studio-transforms-149976050262-prod-ap-northeast-3

  • ap-south-1: aws-glue-studio-transforms-584702181950-prod-ap-south-1

  • ap-south-2: aws-glue-studio-transforms-380279651983-prod-ap-south-2

  • ap-southeast-1: aws-glue-studio-transforms-737106620487-prod-ap-southeast-1

  • ap-southeast-2: aws-glue-studio-transforms-234881715811-prod-ap-southeast-2

  • ap-southeast-3: aws-glue-studio-transforms-151265630221-prod-ap-southeast-3

  • ap-southeast-4: aws-glue-studio-transforms-052235663858-prod-ap-southeast-4

  • ca-central-1: aws-glue-studio-transforms-622716468547-prod-ca-central-1

  • ca-west-1: aws-glue-studio-transforms-915795495192-prod-ca-west-1

  • eu-central-1: aws-glue-studio-transforms-560373232017-prod-eu-central-1

  • eu-central-2: aws-glue-studio-transforms-907358657121-prod-eu-central-2

  • eu-north-1: aws-glue-studio-transforms-312557305497-prod-eu-north-1

  • eu-south-1: aws-glue-studio-transforms-939684186351-prod-eu-south-1

  • eu-south-2: aws-glue-studio-transforms-239737454084-prod-eu-south-2

  • eu-west-1: aws-glue-studio-transforms-244479516193-prod-eu-west-1

  • eu-west-2: aws-glue-studio-transforms-804222392271-prod-eu-west-2

  • eu-west-3: aws-glue-studio-transforms-371299348807-prod-eu-west-3

  • il-central-1: aws-glue-studio-transforms-806964611811-prod-il-central-1

  • me-central-1: aws-glue-studio-transforms-733304270342-prod-me-central-1

  • me-south-1: aws-glue-studio-transforms-112120182341-prod-me-south-1

  • sa-east-1: aws-glue-studio-transforms-881619130292-prod-sa-east-1

  • us-east-1: aws-glue-studio-transforms-510798373988-prod-us-east-1

  • us-east-2: aws-glue-studio-transforms-251189692203-prod-us-east-2

  • us-west-1: aws-glue-studio-transforms-593230150239-prod-us-west-1

  • us-west-2: aws-glue-studio-transforms-818035625594-prod-us-west-2

  • ap-northeast-1: aws-glue-studio-transforms-200493242866-prod-ap-northeast-1

  • cn-north-1: aws-glue-studio-transforms-071033555442-prod-cn-north-1

  • cn-northwest-1: aws-glue-studio-transforms-070947029561-prod-cn-northwest-1

  • us-gov-west-1: aws-glue-studio-transforms-227493901923-prod-us-gov-west-1-2604

如果您選擇 Amazon Redshift 作為資料來源,您可以為叢集許可提供角色。針對使用臨時憑證存取 Amazon S3 進行暫存儲存的 Amazon Redshift 叢集發出命令執行的任務。如果您的任務執行超過一小時,這些憑證將會過期,導致任務失敗。若要避免此問題,您可以將角色指派給 Amazon Redshift 叢集本身,可將必要的許可授予使用臨時憑證的任務。如需詳細資訊,請參閱 AWS Glue 開發人員指南中的將資料移入及移出 Amazon Redshift

如果任務使用 Amazon S3 以外的資料來源或目標,則您必須將必要的許可連接到任務所使用的IAM角色,才能存取這些資料來源和目標。如需詳細資訊,請參閱 AWS Glue 開發人員指南中的設定您的環境,以存取資料存放區

如果您為資料存放區使用連接器和連線,則需要其他許可,如使用連接器所需的許可中所述。

刪除任務所需的許可

In (入) AWS Glue Studio 您可以在主控台中選取多個要刪除的任務。若要執行此動作,您必須具有 glue:BatchDeleteJob 許可。這與 AWS Glue 主控台,需要刪除任務的glue:DeleteJob許可。

AWS Key Management Service 許可

如果您計劃存取使用伺服器端加密搭配 AWS Key Management Service (AWS KMS) 的 Amazon S3 來源和目標,請將政策連接至 AWS Glue Studio 任務使用的角色,讓任務能夠解密資料。任務角色需要 kms:ReEncryptkms:GenerateDataKey 以及 kms:DescribeKey 許可。此外,任務角色需要kms:Decrypt許可,才能上傳或下載使用 AWS KMS 客戶主金鑰 () 加密的 Amazon S3 物件CMK。

使用 需支付額外費用 AWS KMS CMKs。如需詳細資訊,請參閱 開發人員指南 中的AWS Key Management Service 概念 - 客戶主金鑰 (CMKs)AWS Key Management Service 定價AWS Key Management Service

使用連接器所需的許可

如果您使用的是 AWS Glue 存取資料存放區的自訂連接器和連線,用於執行 的角色 AWS Glue ETL 任務需要附加其他許可:

  • 用於存取從 購買的連接器AmazonEC2ContainerRegistryReadOnly的AWS受管政策 AWS Marketplace。

  • glue:GetJobglue:GetJobs 許可。

  • AWS Secrets Manager 存取與連線搭配使用之秘密的許可。請參閱範例:擷取範例政策秘密值的許可。 IAM

如果您的 AWS Glue ETL 任務在VPC執行中的 Amazon 內執行VPC,然後VPC必須如 中所述設定 為您的 ETL 任務設定 VPC