設定 的IAM許可 AWS Glue - AWS Glue
後續步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 的IAM許可 AWS Glue

本主題中的說明可協助您快速設定 的 AWS Identity and Access Management (IAM) 許可 AWS Glue。您將完成下列任務:

  • 授予身分對 AWS Glue 資源的IAM存取權。

  • 建立執行任務、存取資料和執行 AWS Glue Data Quality 任務的服務角色。

如需可用來自訂 IAM許可的詳細說明 AWS Glue,請參閱 設定 的IAM許可 AWS Glue

在 AWS Glue 中設定 的IAM許可 AWS Management Console

  1. 登入 AWS Management Console 並在 開啟 AWS Glue 主控台https://console.aws.amazon.com/glue/

  2. 選擇 Getting started (入門)

  3. 為 準備帳戶 AWS Glue下,選擇設定IAM許可

  4. 選擇您要授予 AWS Glue 許可的身分 IAM (角色或使用者)。 會將 AWSGlueConsoleFullAccess 受管政策 AWS Glue 連接至這些身分。如果您想要手動設定這些許可,或只想設定預設的服務角色,則可略過此步驟。

  5. 選擇 Next (下一步)

  6. 選擇您的角色和使用者所需的 Amazon S3 存取層級。您在此步驟中選擇的選項會套用至您選取的所有身分。

    1. 選擇 S3 位置下,選擇您要授予存取權的 Amazon S3 位置。

    2. 接下來,選取您的身分是否應具有唯讀 (建議) 或對先前選取位置的讀取和寫入存取權。 會根據所選位置的組合,將許可政策 AWS Glue 新增至您的身分,以及讀取或寫入許可。

      下表顯示 AWS Glue 連接 Amazon S3 存取的許可。

      如果選擇… AWS Glue 連接 ...
      未變更 沒有 permissions. AWS Glue won 不會對身分的許可進行任何變更。
      授予對特定 Amazon S3 位置的存取權 (唯讀)

      內嵌在您所選IAM身分中的內嵌政策。如需詳細資訊,請參閱 IAM 使用者指南中的內嵌政策

      AWS Glue 使用以下慣例命名政策:AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>。例如:AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123

      以下是內嵌政策的範例,該政策會 AWS Glue 連接 以授予指定 Amazon S3 位置的唯讀存取權。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
      授予對指定 Amazon S3 位置的存取權 (讀取和寫入) 內嵌在您所選IAM身分中的內嵌政策。如需詳細資訊,請參閱 IAM 使用者指南中的內嵌政策

      AWS Glue 使用以下慣例命名政策:AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>。例如:AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123

      以下是內嵌政策的範例,該政策 AWS Glue 會連接 以授予指定 Amazon S3 位置的讀取和寫入存取權。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*",
                "s3:*Object*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}
      授予對 Amazon S3 的完整存取權 (唯讀) AmazonS3ReadOnlyAccess 受管IAM政策。若要進一步了解,請參閱 AWS 受管政策:AmazonS3ReadOnlyAccess
      授予對 Amazon S3 的完整存取權 (讀取和寫入) AmazonS3FullAccess 受管IAM政策。若要進一步了解,請參閱 AWS 受管政策:AmazonS3FullAccess

  7. 選擇 Next (下一步)

  8. 為您的帳戶選擇預設 AWS Glue 服務角色。服務角色是 AWS Glue 用來代表您存取其他 AWS 服務中資源IAM的角色。如需詳細資訊,請參閱AWS Glue 的服務角色

    • 當您選擇標準 AWS Glue 服務角色時, AWS Glue 會在 AWS 帳戶 中建立新的IAM角色,名稱為 AWSGlueServiceRole,並隨附下列 受管政策。如果您的 帳戶已有名為 IAM的角色AWSGlueServiceRole,請將這些政策 AWS Glue 連接至現有角色。

      • AWSGlueServiceRole – 需要此受管政策 AWS Glue 才能代表您存取和管理資源。它 AWS Glue 允許建立、更新和刪除各種資源,例如 AWS Glue 任務、爬蟲程式和連線。此政策也授予 存取 Amazon CloudWatch 日誌的許可 AWS Glue ,以供記錄之用。為了開始使用,我們建議您使用此政策來了解如何使用 AWS Glue。當您更熟悉 時 AWS Glue,您可以建立政策,讓您視需要微調資源的存取。

      • AmazonS3FullAccess – 此受管政策將必要的許可授予 AWS Glue ,以完整讀取和寫入 Amazon S3 資源。這種廣泛的存取通常是必要的,因為 AWS Glue 在操作期間可能需要與多個 Amazon S3 儲存貯體和路徑互動。為了開始使用,我們建議您使用此政策來了解如何使用 AWS Glue。

        雖然 `AmazonS3FullAccess` 政策提供廣泛的許可,但遵循最低權限原則並盡可能授予更嚴格的許可,是最佳實務。您可以建立自訂IAM政策,僅授予對 AWS Glue 任務、爬蟲程式和資料來源所需的特定 Amazon S3 儲存貯體和路徑的存取權。不過,這種方法需要更多努力來管理和更新政策,因為您的 AWS Glue 使用量不斷演變。

    • 當您選擇現有IAM角色時, 會將角色 AWS Glue 設定為預設角色,但不會新增任何許可。請確定您已設定 角色做為 的服務角色 AWS Glue。如需詳細資訊,請參閱 步驟 1:建立適用於 AWS Glue 服務的 IAM 政策步驟 2:建立IAM角色 AWS Glue

  9. 選擇 Next (下一步)

  10. 最後,檢閱您選取的許可,然後選擇套用變更。當您套用變更時, 會將IAM許可 AWS Glue 新增至您選擇的身分。您可以在 IAM 主控台中檢視或修改新許可https://console.aws.amazon.com/iam/

您現在已完成 的最低IAM許可設定 AWS Glue。在生產環境中,我們建議您熟悉 中的安全性 AWS Glue,並Glue AWS 的身分和存取管理協助您保護使用案例 AWS 的資源。

後續步驟

現在您已設定IAM許可,您可以探索下列主題,開始使用 AWS Glue: