步骤 2: 为 AWS Glue 创建 IAM 角色 - AWS Glue
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 2: 为 AWS Glue 创建 IAM 角色

您需要向您的 IAM 角色授予在 AWS Glue 代表您调用其他服务时可使用的权限。这包括对 Amazon S3 的访问权限(针对用于 AWS Glue 的任何源、目标、脚本和临时目录)。爬网程序、任务和开发终端节点需要权限。

您可以使用 AWS Identity and Access Management (IAM) 提供这些权限。将策略添加到您传递到 AWS Glue 的 IAM 角色。

为 创建 IAM 角色AWS Glue

  1. 登录 AWS 管理控制台,并通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在左侧导航窗格中,选择 Roles

  3. 选择创建角色

  4. 对于角色类型,请选择AWS 服务,查找并选择连接词,然后选择后续:权限。

  5. 在存储库的附加权限策略页面上,选择包含所需权限的策略;例如,AWS 托管策略AWSG 网络服务器获取常规 AWS Glue 权限和 AWS 托管策略AmazonS3FullAccess以访问 Amazon S3 资源。接下来,选择 Next (下一步):审核

    注意

    请确保此角色中的策略之一向您的 Amazon S3 源和目标授予了权限。您可能想要提供您自己的策略来访问特定 Amazon S3 资源。数据源需要 s3:ListBuckets3:GetObject 权限。数据目标需要s3:ListBuckets3:PutObjects3:DeleteObject 权限。有关为您的资源创建 Amazon S3 策略的更多信息,请参阅在策略中指定资源。有关示例 Amazon S3 策略,请参阅编写 IAM 策略:如何授予对 Amazon S3 存储桶的访问权限

    如果您计划访问使用 SSE-KMS 加密的 Amazon S3 资源和目标,请附加一个允许 AWS Glue 爬网程序、任务和开发终端节点解密数据的策略。有关更多信息,请参阅通过将服务器端加密与 AWS KMS 托管密钥 (SSE-KMS) 结合使用来保护数据

    以下是示例。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] }
  6. 对于 Role name (角色名称),为您的角色键入一个名称;例如,AWSGlueServiceRoleDefault。创建以字符串为前缀的角色AWSG 网络服务器允许角色从控制台用户传递到服务。AWS Glue 提供了要求 IAM 服务角色以开头的策略。AWSG 网络服务器。否则,您必须添加一个策略以允许您的用户iam:PassRole权限,以匹配您的命名约定。选择 Create role (创建角色)