設定 的 IAM 許可 AWS Glue - AWS Glue
後續步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 的 IAM 許可 AWS Glue

本主題中的指示可協助您快速設定 的 AWS Identity and Access Management (IAM) 許可 AWS Glue。您將完成下列任務:

  • 授予 IAM 身分對 AWS Glue 資源的存取權。

  • 建立執行任務、存取資料和執行 AWS Glue Data Quality 任務的服務角色。

如需可用來自訂 IAM 許可的詳細說明 AWS Glue,請參閱 設定 AWS Glue 的 IAM 許可

在 AWS Glue 中設定 的 IAM 許可 AWS Management Console

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/glue/ 開啟 AWS Glue 主控台。

  2. 選擇 Getting started (入門)

  3. 準備您的帳戶下 AWS Glue,選擇設定 IAM 許可

  4. 選擇您要授予 AWS Glue 許可的 IAM 身分 (角色或使用者)。 會將 AWSGlueConsoleFullAccess 受管政策 AWS Glue 附加到這些身分。如果您想要手動設定這些許可,或只想設定預設的服務角色,則可略過此步驟。

  5. 選擇 Next (下一步)

  6. 選擇您的角色和使用者所需的 Amazon S3 存取層級。您在此步驟中選擇的選項會套用至您選取的所有身分。

    1. 選擇 S3 位置下,選擇您要授予存取權的 Amazon S3 位置。

    2. 接著,選取您的身分是否應具有唯讀 (建議) 或對您先前選取的位置的讀取和寫入存取權。 會根據您選取的位置和讀取或寫入許可的組合,將許可政策 AWS Glue 新增至您的身分。

      下表顯示為 Amazon S3 存取 AWS Glue 附加的許可。

      如果選擇… AWS Glue 連接 ...
      未變更 沒有 permissions. AWS Glue won 不會對您的身分許可進行任何變更。
      授予對特定 Amazon S3 位置的存取權 (唯讀)

      嵌入在您選取的 IAM 身分中的內嵌政策。如需詳細資訊,請參閱《IAM 使用者指南》中的內嵌政策

      AWS Glue 使用以下慣例命名政策:AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>。例如:AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123

      以下是內嵌政策的範例,該政策會 AWS Glue 連接 以授予指定 Amazon S3 位置的唯讀存取權。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
      授予對指定 Amazon S3 位置的存取權 (讀取和寫入) 嵌入在您選取的 IAM 身分中的內嵌政策。如需詳細資訊,請參閱《IAM 使用者指南》中的內嵌政策

      AWS Glue 使用以下慣例命名政策:AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>。例如:AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123

      以下是內嵌政策的範例,該政策會 AWS Glue 連接 以授予指定 Amazon S3 位置的讀取和寫入存取權。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*",
                "s3:*Object*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}
      授予對 Amazon S3 的完整存取權 (唯讀) AmazonS3ReadOnlyAccess 受管 IAM 政策。若要進一步了解,請參閱 AWS 受管政策:AmazonS3ReadOnlyAccess
      授予對 Amazon S3 的完整存取權 (讀取和寫入) AmazonS3FullAccess 受管 IAM 政策。若要進一步了解,請參閱 AWS 受管政策:AmazonS3FullAccess

  7. 選擇 Next (下一步)

  8. 選擇您帳戶的預設 AWS Glue 服務角色。服務角色是 IAM 角色, AWS Glue 用來 AWS 代表您存取其他服務中的資源。如需詳細資訊,請參閱AWS Glue 的服務角色

    • 當您選擇標準 AWS Glue 服務角色時, 會在 AWS 帳戶 名為 的 AWS Glue 中建立新的 IAM 角色AWSGlueServiceRole,並連接下列受管政策。如果您的 帳戶已有名為 的 IAM 角色AWSGlueServiceRole, 會將這些政策 AWS Glue 連接至現有角色。

      • AWSGlueServiceRole – 需要此受管政策 AWS Glue ,才能代表您存取和管理資源。它允許 AWS Glue 建立、更新和刪除各種資源,例如 AWS Glue 任務、爬蟲程式和連線。此政策也會授予 AWS Glue 存取 Amazon CloudWatch 日誌的許可,以供記錄之用。為了開始使用,我們建議您使用此政策來了解如何使用 AWS Glue。隨著您對 感到更自在 AWS Glue,您可以建立政策,讓您視需要微調對 資源的存取。

      • AmazonS3FullAccess – 此受管政策授予 所需的許可 AWS Glue ,以完整讀取和寫入 Amazon S3 資源。這種廣泛的存取通常是必要的,因為 AWS Glue 可能需要在操作期間與多個 Amazon S3 儲存貯體和路徑互動。為了開始使用,我們建議您使用此政策來了解如何使用 AWS Glue。

        雖然 `AmazonS3FullAccess` 政策提供廣泛的許可,但最佳實務是遵循最低權限原則,並盡可能授予更嚴格的許可。您可以建立自訂 IAM 政策,僅將存取權授予 AWS Glue 任務、爬蟲程式和資料來源所需的特定 Amazon S3 儲存貯體和路徑。不過,這種方法需要更多的精力來管理和更新政策,因為您的 AWS Glue 用量不斷演進。

    • 當您選擇現有的 IAM 角色時, 會將角色 AWS Glue 設定為預設值,但不會新增任何許可。請確定您已設定 角色做為 的服務角色 AWS Glue。如需詳細資訊,請參閱 步驟 1:建立適用於 AWS Glue 服務的 IAM 政策步驟 2:為 AWS Glue 建立 IAM 角色

  9. 選擇 Next (下一步)

  10. 最後,檢閱您選取的許可,然後選擇套用變更。當您套用變更時, 會將 IAM 許可 AWS Glue 新增至您選取的身分。您可以在 IAM 主控台中檢視或修改新許可,網址為 https://console.aws.amazon.com/iam/

您現在已完成 的最低 IAM 許可設定 AWS Glue。在生產環境中,我們建議您熟悉 中的安全性 AWS Glue,並Glue AWS 的身分和存取管理協助您保護使用案例 AWS 的資源。

後續步驟

現在您已設定 IAM 許可,您可以瀏覽下列主題以開始使用 AWS Glue: