为 Amazon Glue 设置 IAM 权限 - Amazon Glue
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon Glue 设置 IAM 权限

本主题中的说明可帮助您为 Amazon Glue 快速设置 Amazon Identity and Access Management(IAM)权限。您需要完成以下任务:

  • 授予您的 IAM 身份访问 Amazon Glue 资源的权限。

  • 创建用于运行作业、访问数据和运行 Amazon Glue Data Quality 任务的服务角色。

有关可用于为 为 Amazon Glue 配置 IAM 权限 自定义 IAM 权限的详细说明,请参阅 Amazon Glue。

在 Amazon Web Services Management Console 中为 Amazon Glue 设置 IAM 权限
  1. 登录 Amazon Web Services Management Console,然后打开 Amazon Glue 控制台,网址为:https://console.aws.amazon.com/glue/

  2. 选择开始使用

  3. 为 Amazon Glue 准备好账号下,选择设置 IAM 权限

  4. 选择您要向其授予 Amazon Glue 权限的 IAM 身份(角色或用户)。Amazon Glue 将 AWSGlueConsoleFullAccess 托管策略附加到这些身份。如果您想手动设置这些权限或只想设置默认服务角色,则可以跳过此步骤。

  5. 选择下一步

  6. 选择您的角色和用户需要的 Amazon S3 访问权限级别。您在此步骤中选择的选项将应用于您选择的所有身份。

    1. 选择 S3 地点下,选择您想要授予访问权限的 Amazon S3 地点。

    2. 接下来,选择您的身份应该对您之前选择的位置具有只读(推荐)还是读写权限。Amazon Glue 根据您选择的位置和读取或写入权限的组合为您的身份添加权限策略。

      下表显示了 Amazon Glue 为访问 Amazon S3 而附加的权限。

      如果选择…… Amazon Glue 附加……
      无更改 没有权限。Amazon Glue 不会对您的身份权限执行任何更改。
      授予对特定 Amazon S3 地点的访问权限(只读)

      在您选择的 IAM 身份中嵌入内联策略。有关更多信息,请参阅《IAM 用户指南》中的 Inline policies

      Amazon Glue 使用以下惯例命名策略:AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>。例如:AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123

      以下是 Amazon Glue 附加的内联策略示例,该策略用于授予对指定 Amazon S3 位置的只读访问权限。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] } ] }
      授予对特定 Amazon S3 地点的访问权限(读写) 在您选择的 IAM 身份中嵌入内联策略。有关更多信息,请参阅《IAM 用户指南》中的 Inline policies

      Amazon Glue 使用以下惯例命名策略:AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>。例如:AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123

      以下是 Amazon Glue 附加的内联策略示例,该策略用于授予对指定 Amazon S3 位置的读写访问权限。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:*Object*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*" ] } ] }
      授予对 Amazon S3 的完全访问权限(只读) AmazonS3ReadOnlyAccess 托管 IAM policy。要了解更多信息,请参阅 Amazon managed policy: AmazonS3ReadOnlyAccess
      授予对 Amazon S3 的完全访问权限(读写) AmazonS3FullAccess 托管 IAM policy。要了解更多信息,请参阅 Amazon managed policy: AmazonS3FullAccess
  7. 选择下一步

  8. 为您的账户选择默认 Amazon Glue 服务角色。服务角色是一个 IAM 角色,Amazon Glue 用于代表您访问其他 Amazon 服务中的资源。有关更多信息,请参阅 Amazon Glue 的服务角色

    • 当您选择标准 Amazon Glue 服务角色时,Amazon Glue 会在您的名为 AWSGlueServiceRole 的 Amazon Web Services 账户 中创建一个新的 IAM 角色,并附加以下托管策略。如果您的账户已经有一个名为 AWSGlueServiceRole 的 IAM 角色,Amazon Glue 会将这些策略附加到现有角色。

      • AWSGlueServiceRole – 此托管策略是 Amazon Glue 代表您访问和管理资源所必需的。它允许 Amazon Glue 创建、更新和删除各种资源,例如 Amazon Glue 作业、爬网程序和连接。此策略还授予 Amazon Glue 出于记录目的访问 Amazon CloudWatch 日志的权限。为了便于入门,我们建议您使用此策略来学习如何使用 Amazon Glue。随着您逐渐熟悉 Amazon Glue,您可以创建策略,以便根据需要微调对资源的访问权限。

      • AmazonS3FullAccess – 此托管式策略向 Amazon Glue 授予对 Amazon S3 资源进行完全读取和写入所需的权限。这种广泛的访问权限通常是必要的,因为在操作期间,Amazon Glue 可能需要与多个 Amazon S3 存储桶和路径进行交互。为了便于入门,我们建议您使用此策略来学习如何使用 Amazon Glue。

        虽然 `AmazonS3FullAccess` 策略提供了广泛的权限,但最佳做法是遵循最低权限原则,并尽可能授予更严格的权限。您可以创建一个自定义 IAM 策略,该策略仅授予对 Amazon Glue 作业、爬网程序和数据源所需的特定 Amazon S3 存储桶和路径的访问权限。但是,随着 Amazon Glue 使用量的变化,这种方法需要在管理和更新策略方面付出更多努力。

    • 当您选择现有 IAM 角色时,Amazon Glue 会将该角色设置为默认角色,但不会向其添加任何权限。确保您已将角色配置为用作 Amazon Glue 的服务角色。有关更多信息,请参阅步骤 1:为 Amazon Glue 服务创建 IAM policy步骤 2:为 Amazon Glue 创建 IAM 角色

  9. 选择下一步

  10. 最后,检查您选择的权限,然后选择应用更改。当您应用更改时,Amazon Glue 会向您选择的身份添加 IAM 权限。您可以在 IAM 控制台中查看或修改新权限,网址为 https://console.aws.amazon.com/iam/

现在,您已经完成了为 Amazon Glue 设置最低 IAM 权限。在生产环境中,我们建议您熟悉 Amazon Glue 中的安全性Amazon Glue 的身份和访问管理,帮助您保护用例的 Amazon 资源。

后续步骤

现在您已经设置了 IAM 权限,您可以探索以下主题以开始使用 Amazon Glue: