本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
本主題中的指示可協助您快速設定 的 AWS Identity and Access Management (IAM) 許可 AWS Glue。您將完成下列任務:
-
授予 IAM 身分對 AWS Glue 資源的存取權。
-
建立執行任務、存取資料和執行 AWS Glue Data Quality 任務的服務角色。
如需可用來自訂 IAM 許可的詳細說明 AWS Glue,請參閱 設定 AWS Glue 的 IAM 許可。
在 AWS Glue 中設定 的 IAM 許可 AWS Management Console
-
登入 AWS Management Console 並在 https://https://console.aws.amazon.com/glue/
開啟 AWS Glue 主控台。 -
選擇 Getting started (入門)。
-
在準備您的帳戶下 AWS Glue,選擇設定 IAM 許可。
-
選擇您要授予 AWS Glue 許可的 IAM 身分 (角色或使用者)。 會將
AWSGlueConsoleFullAccess受管政策 AWS Glue 連接到這些身分。如果您想要手動設定這些許可,或只想設定預設的服務角色,則可略過此步驟。 -
選擇下一步。
-
選擇您的角色和使用者所需的 Amazon S3 存取層級。您在此步驟中選擇的選項會套用至您選取的所有身分。
-
在選擇 S3 位置下,選擇您要授予存取權的 Amazon S3 位置。
-
接著,選取您的身分是否應具有唯讀 (建議) 或對您先前選取的位置的讀取和寫入存取權。 會根據您選取的位置和讀取或寫入許可的組合,將許可政策 AWS Glue 新增至您的身分。
下表顯示為 Amazon S3 存取 AWS Glue 附加的許可。
如果選擇… AWS Glue 連接 ... 未變更 沒有 permissions. AWS Glue won 不會對您身分的許可進行任何變更。 授予對特定 Amazon S3 位置的存取權 (唯讀) 客戶受管政策
AWSGlueConsole-S3-read-only-policy授予具有唯讀許可的特定 Amazon S3 位置存取權。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*", "arn:aws:s3:::amzn-s3-demo-bucket3", "arn:aws:s3:::amzn-s3-demo-bucket" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"0000000000" } } } ] }授予對指定 Amazon S3 位置的存取權 (讀取和寫入) AWSGlueConsole-S3-read-and-write-policy授予具有讀取和寫入許可的特定 Amazon S3 位置存取權。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::aes-siem-00000000000-log/*", "arn:aws:s3:::aes-siem-00000000000-snapshot/*", "arn:aws:s3:::aes-siem-00000000000-log", "arn:aws:s3:::aes-siem-00000000000-snapshot" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"00000000000" } } } ] }
-
-
選擇下一步。
-
為您的 帳戶選擇預設 AWS Glue 服務角色。服務角色是 IAM 角色, AWS Glue 使用 代表您存取其他 AWS 服務中的資源。如需詳細資訊,請參閱AWS Glue 的服務角色。
-
當您選擇標準 AWS Glue 服務角色時, AWS Glue 會在已連接下列 受管政策
AWSGlueServiceRole的 AWS 帳戶 中建立新的 IAM 角色。如果您的帳戶已有名為 的 IAM 角色AWSGlueServiceRole, 會將這些政策 AWS Glue 連接至現有角色。-
AWSGlueServiceRole
– 需要此受管政策 AWS Glue , 才能代表您存取和管理資源。它允許 AWS Glue 建立、更新和刪除各種資源,例如 AWS Glue 任務、爬蟲程式和連線。此政策也會授予 AWS Glue 存取 Amazon CloudWatch 日誌的許可,以供記錄之用。為了開始使用,我們建議您使用此政策來了解如何使用 AWS Glue。當您更熟悉 時 AWS Glue,您可以建立政策,讓您視需要微調對 資源的存取。 -
AWSGlueConsoleFullAccess
– 此受管政策會透過 授予 AWS Glue 服務的完整存取權 AWS Management Console。此政策授予在 內執行任何操作的許可 AWS Glue,讓您可以視需要建立、修改和刪除任何 AWS Glue 資源。不過,請務必注意,此政策不會授予存取基礎資料存放區或其他可能參與 ETL 程序之 AWS 服務的許可。由於 AWSGlueConsoleFullAccess政策授予的許可範圍廣泛,因此應謹慎指派,並遵循最低權限原則。通常建議盡可能建立和使用針對特定使用案例和需求量身打造的更精細政策。 -
AWSGlueConsole-S3-read-only-policy
– 此政策允許 從指定的 Amazon S3 儲存貯體 AWS Glue 讀取資料,但不授予在 Amazon S3 或 中寫入或修改資料的許可 AWSGlueConsole-S3-read-and-write
– 此政策允許 AWS Glue 讀取和寫入資料至指定的 Amazon S3 儲存貯體,做為 ETL 程序的一部分。
-
-
當您選擇現有的 IAM 角色時, 會將角色 AWS Glue 設定為預設值,但不會新增
AWSGlueServiceRole許可給該角色。請確定您已將角色設定為使用 做為 的服務角色 AWS Glue。如需詳細資訊,請參閱步驟 1:建立適用於 AWS Glue 服務的 IAM 政策及步驟 2:為 AWS Glue 建立 IAM 角色。
-
-
選擇下一步。
-
最後,檢閱您選取的許可,然後選擇套用變更。當您套用變更時, 會將 IAM 許可 AWS Glue 新增至您選取的身分。您可以在 IAM 主控台中檢視或修改新許可,網址為 https://console.aws.amazon.com/iam/
。
您現在已完成 的最低 IAM 許可設定 AWS Glue。在生產環境中,我們建議您熟悉 中的安全性 AWS Glue並Glue AWS 的身分和存取管理協助您保護使用案例 AWS 的資源。
後續步驟
現在您已設定 IAM 許可,您可以瀏覽下列主題以開始使用 AWS Glue:
