本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Glue Studio 中的筆記本入門
透過 AWS Glue Studio 啟動筆記本,所有的設定步驟都會自動完成,以便您在幾秒鐘之後探索資料並開始開發任務指令碼。
下列各節說明如何建立角色,並授與適當的權限,以便在中使用筆記本AWS Glue Studio進行ETL工作。
如需 AWS Glue 定義之動作的詳細資訊,請參閱 G AWS lue 定義的動作。
授與IAM角色的權限
設定 AWS Glue Studio 是使用筆記本的先決條件。
若要在 AWS Glue 中使用筆記本,您的角色需要滿足下列條件:
-
與 AWS Glue 之間的信任關係,用於
sts:AssumeRole動作;若您想標記,則為sts:TagSession動作。 -
包含筆記本、AWS Glue和互動式工作階段之所有權限的IAM原則。
-
通過角色的IAM原則,因為角色必須能夠將自己從筆記本傳遞至互動式工作階段。
例如,當您建立新角色時,您可以將標準 AWS 受管理的原則新增AWSGlueConsoleFullAccessRole至角色,然後新增筆記本作業的新原則,並為原則新增另一個IAM PassRole 原則。
與 AWS Glue 之間信任關係的所需操作
在開始筆記本工作階段時,您必須將 sts:AssumeRole 新增至已傳遞至筆記本的角色信任關係。如果您的工作階段包含標籤,則您也必須傳遞 sts:TagSession 動作。如果沒有這些動作,將無法開始筆記本工作階段。
例如:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "glue.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
包含筆記本IAM權限的原則
下列範例原則說明筆記本的必要 AWS IAM權限。如果您要建立新角色,請建立包含下列項目的政策:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:StartNotebook", "glue:TerminateNotebook", "glue:GlueNotebookRefreshCredentials", "glue:DeregisterDataPreview", "glue:GetNotebookInstanceStatus", "glue:GlueNotebookAuthorize" ], "Resource": "*" } ] }
您可以使用下列IAM策略來允許存取特定資源:
-
AwsGlueSessionUserRestrictedNotebookServiceRole:提供對工作階段以外的所有AWS Glue資源的完整存取權。允許使用者僅建立並使用與使用者相關聯的筆記本工作階段。此原則也包含管理其他 AWS 服務AWS Glue資源所需的其他權限。AWS Glue
-
AwsGlueSessionUserRestrictedNotebookPolicy:提供允許使用者僅建立及使用與使用者相關聯之記事本工作階段的權限。此政策也包括明確允許使用者傳遞受限制 AWS Glue 工作階段角色的許可。
IAM傳遞角色的政策
在您使用角色建立筆記本時,系統會將該角色傳遞至互動式工作階段,以便在兩個位置皆可使用同一個角色。因此,iam:PassRole 許可需要成為角色政策的一部分。
使用下列範例為角色建立新政策。用您的帳號與角色名稱取代範例中的值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::090000000210:role/<role_name>" } ] }
