本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢閱ETL工作所需的IAM權限
當您使用建立工作時AWS Glue Studio,工作會採用您在建立工作時指定之IAM角色的權限。此IAM角色必須具有從資料來源擷取資料、將資料寫入目標以及存取 AWS Glue 資源的權限。
您為任務建立的角色名稱必須以字串 AWSGlueServiceRole 開頭,AWS Glue Studio 才能正確使用。例如,您可以將角色命名為 AWSGlueServiceRole-FlightDataJob。
資料來源和資料目標許可
對於您用於任務中的任何來源、目標、指令碼和臨時目錄,AWS Glue Studio 任務必須可以存取 Amazon S3。您可以建立政策,對特定 Amazon S3 資源提供精細存取。
-
資料來源需要
s3:ListBucket和s3:GetObject許可。 -
資料目標需要
s3:ListBucket、s3:PutObject和s3:DeleteObject許可。
注意
您的IAM政策需要允許s3:GetObject用於託管 AWS Glue 轉換的特定值區。
以下存儲桶由 AWS 服務帳戶擁有,並且在全球範圍內可讀。這些存儲桶作為源代碼的存儲庫,這些存儲庫與可通過可視化編輯器訪問的轉換子集相 AWS Glue Studio 關。值區的權限設定為拒絕值區上的任何其他API動作。任何人都可以閱讀我們為轉換提供的腳本,但是我們的服務團隊之外沒有人可以在其中「放入」任何內容。當您的 AWS Glue 工作執行時,該檔案會以本機匯入的形式提取,以便將檔案下載到本機容器。之後,與該帳戶沒有進一步的通信。
區域:時段名稱
-
af-south-1: aws-glue-studio-transforms-762339736633--1 prod-af-south
-
ap-east-1:-125979764932--1 aws-glue-studio-transforms prod-ap-east
-
ap-northeast-2:-673535381443--2 aws-glue-studio-transforms prod-ap-northeast
-
ap-northeast-3:-149976050262--3 aws-glue-studio-transforms prod-ap-northeast
-
ap-south-1: aws-glue-studio-transforms -584702181950--1 prod-ap-south
-
ap-south-2: aws-glue-studio-transforms-380279651983--2 prod-ap-south
-
ap-southeast-1:-737106620487--1 aws-glue-studio-transforms prod-ap-southeast
-
ap-southeast-2:-234881715811--2 aws-glue-studio-transforms prod-ap-southeast
-
ap-southeast-3:-151265630221--3 aws-glue-studio-transforms prod-ap-southeast
-
ap-southeast-4:-052235663858--4 aws-glue-studio-transforms prod-ap-southeast
-
ca-central-1: aws-glue-studio-transforms-622716468547--1 prod-ca-central
-
ca-west-1: aws-glue-studio-transforms-915795495192--1 prod-ca-west
-
eu-central-1:-560373232017--1 aws-glue-studio-transforms prod-eu-central
-
eu-central-2 號:-907358657121--2 aws-glue-studio-transforms prod-eu-central
-
eu-north-1: aws-glue-studio-transforms-312557305497--1 prod-eu-north
-
eu-south-1 號: aws-glue-studio-transforms-939684186351--1 prod-eu-south
-
eu-south-2 號: aws-glue-studio-transforms-239737454084--2 prod-eu-south
-
eu-west-1:-244479516193--1 aws-glue-studio-transforms prod-eu-west
-
eu-west-2:-804222392271--2 aws-glue-studio-transforms prod-eu-west
-
eu-west-3:-371299348807--3 aws-glue-studio-transforms prod-eu-west
-
il-central-1:-806964611811--1 aws-glue-studio-transforms prod-il-central
-
me-central-1: aws-glue-studio-transforms-733304270342--1 prod-me-central
-
me-south aws-glue-studio-transforms -1:prod-me-south
-
sa-east-1:-881619130292--1 aws-glue-studio-transforms prod-sa-east
-
us-east-1: aws-glue-studio-transforms-510798373988--1 prod-us-east
-
us-east-2: aws-glue-studio-transforms-251189692203--2 prod-us-east
-
us-west-1: aws-glue-studio-transforms-593230239--1 prod-us-west
-
us-west-2: aws-glue-studio-transforms-818035625594--2 prod-us-west
-
ap-northeast-1:-200493242866--1 aws-glue-studio-transforms prod-ap-northeast
如果您選擇 Amazon Redshift 做為資料來源,則可以提供叢集權限的角色。針對 Amazon Redshift 叢集執行的任務會發出使用臨時登入資料存取 Amazon S3 以取得臨時儲存的命令。如果您的任務執行超過一小時,這些憑證將會過期,導致任務失敗。若要避免此問題,您可以將角色指派給 Amazon Redshift 叢集本身,可將必要的許可授予使用臨時憑證的任務。如需詳細資訊,請參閱 AWS Glue 開發人員指南中的將資料移入及移出 Amazon Redshift。
如果任務使用 Amazon S3 以外的資料來源或目標,則您必須將必要的許可附加至任務使用的IAM角色,才能存取這些資料來源和目標。如需詳細資訊,請參閱 AWS Glue 開發人員指南中的設定您的環境,以存取資料存放區。
如果您為資料存放區使用連接器和連線,則需要其他許可,如使用連接器所需的許可中所述。
刪除任務所需的許可
在 AWS Glue Studio 中,您可以在主控台中選取多個任務來刪除。若要執行此動作,您必須具有 glue:BatchDeleteJob 許可。這有別於 AWS Glue 主控台,在此處需要 glue:DeleteJob 許可才能刪除任務。
AWS Key Management Service 權限
如果您打算使用 AWS Key Management Service (AWS KMS) 存取使用伺服器端加密的 Amazon S3 來源和目標,請將政策附加到可讓任務解密資料的任務所使用的AWS Glue Studio角色。任務角色需要 kms:ReEncrypt、kms:GenerateDataKey 以及 kms:DescribeKey 許可。此外,任務角色還需要有kms:Decrypt權限才能上傳或下載使用 AWS KMS 客戶主金鑰加密的 Amazon S3 物件 (CMK)。
使用需支付額外費用 AWS KMS CMKs。如需詳細資訊,請參閱AWS Key Management Service 開發人員指南中的AWS Key Management Service 概念-客戶主金鑰 (CMKs) 和AWS Key Management Service 定價
使用連接器所需的許可
如果您使用AWS Glue自訂連接器和連線來存取資料存放區,用於執行AWS GlueETL工作的角色需要附加的其他權限:
-
存取從中購買
AmazonEC2ContainerRegistryReadOnly之連接器的AWS受管理原則 AWS Marketplace。 -
glue:GetJob和glue:GetJobs許可。 -
AWS Secrets Manager 存取與連線搭配使用之密碼的權限。如需IAM原則範例,請參閱範例:擷取密碼值的權限。
如果您的AWS GlueETL任務在執行中的 VPC Amazon 內執行VPC,則VPC必須按照中的說明進行設定為您的 ETL 任務設定 VPC。
