为 Amazon Glue 设置 IAM 权限
本主题中的说明可帮助您为 Amazon Glue 快速设置 Amazon Identity and Access Management (IAM) 权限。您需要完成以下任务:
-
授予您的 IAM 身份访问 Amazon Glue 资源的权限。
-
创建用于运行作业、访问数据和运行 Amazon Glue Data Quality 任务的服务角色。
有关可用于为 为 Amazon Glue 配置 IAM 权限 自定义 IAM 权限的详细说明,请参阅 Amazon Glue。
在 Amazon Web Services Management Console 中为 Amazon Glue 设置 IAM 权限
-
登录 Amazon Web Services Management Console,然后打开 Amazon Glue 控制台,网址为:https://console.aws.amazon.com/glue/
。 -
选择开始使用。
-
在为 Amazon Glue 准备好账号下,选择设置 IAM 权限。
-
选择您要向其授予 Amazon Glue 权限的 IAM 身份(角色或用户)。Amazon Glue 将
AWSGlueConsoleFullAccess托管策略附加到这些身份。如果您想手动设置这些权限或只想设置默认服务角色,则可以跳过此步骤。 -
选择下一步。
-
选择您的角色和用户需要的 Amazon S3 访问权限级别。您在此步骤中选择的选项将应用于您选择的所有身份。
-
在选择 S3 地点下,选择您想要授予访问权限的 Amazon S3 地点。
-
接下来,选择您的身份应该对您之前选择的位置具有只读(推荐)还是读写权限。Amazon Glue 根据您选择的位置和读取或写入权限的组合为您的身份添加权限策略。
下表显示了 Amazon Glue 为访问 Amazon S3 而附加的权限。
如果选择…… Amazon Glue 附加…… 无更改 没有权限。Amazon Glue 不会对您的身份权限执行任何更改。 授予对特定 Amazon S3 地点的访问权限(只读) 客户管理型策略
AWSGlueConsole-S3-read-only-policy授予对特定 Amazon S3 地点的只读权限。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*", "arn:aws:s3:::amzn-s3-demo-bucket3", "arn:aws:s3:::amzn-s3-demo-bucket" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"0000000000" } } } ] }授予对特定 Amazon S3 地点的访问权限(读写) AWSGlueConsole-S3-read-and-write-policy授予对特定 Amazon S3 地点的读写权限。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::aes-siem-00000000000-log/*", "arn:aws:s3:::aes-siem-00000000000-snapshot/*", "arn:aws:s3:::aes-siem-00000000000-log", "arn:aws:s3:::aes-siem-00000000000-snapshot" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"00000000000" } } } ] }
-
-
选择下一步。
-
为您的账户选择默认 Amazon Glue 服务角色。服务角色是一个 IAM 角色,Amazon Glue 用于代表您访问其他 Amazon 服务中的资源。有关更多信息,请参阅 Amazon Glue 的服务角色。
-
当您选择标准 Amazon Glue 服务角色时,Amazon Glue 会在您的名为
AWSGlueServiceRole的 Amazon Web Services 账户 中创建一个新的 IAM 角色,并附加以下托管策略。如果您的账户已经有一个名为AWSGlueServiceRole的 IAM 角色,Amazon Glue 会将这些策略附加到现有角色。-
AWSGlueServiceRole
– 此托管策略是 Amazon Glue 代表您访问和管理资源所必需的。它允许 Amazon Glue 创建、更新和删除各种资源,例如 Amazon Glue 作业、爬网程序和连接。此策略还授予 Amazon Glue 出于记录目的访问 Amazon CloudWatch 日志的权限。为了便于入门,我们建议您使用此策略来学习如何使用 Amazon Glue。随着您逐渐熟悉 Amazon Glue,您可以创建策略,以便根据需要微调对资源的访问权限。 -
AWSGlueConsoleFullAccess
- 此托管策略通过 Amazon Web Services Management Console 授予对 Amazon Glue 服务的完全访问权限。该策略授予在 Amazon Glue 内执行任何操作的权限,使您能够根据需要创建、修改和删除任何 Amazon Glue 资源。但需要注意的是,此策略不授予访问 ETL 流程中可能涉及的底层数据存储或其他 Amazon 服务的权限。由于 AWSGlueConsoleFullAccess策略授予的权限范围很广,因此在分配权限时应谨慎行事,并遵循最低权限原则。一般建议尽可能创建和使用针对特定用例和要求的更细粒度的策略。 -
AWSGlueConsole-S3-read-only-policy
– 此策略允许 GLU 从指定的 Amazon S3 存储桶读取数据,但不授予在 Amazon S3 中写入或修改数据的权限,或者 AWSGlueConsole-S3-read-and-write
– 该策略允许 Amazon Glue 将数据读写到指定的 Amazon S3 存储桶,作为 ETL 流程的一部分。
-
-
当您选择现有 IAM 角色时,Amazon Glue 会将该角色设置为默认角色,但不会向其添加
AWSGlueServiceRole权限。确保您已将角色配置为用作 Amazon Glue 的服务角色。有关更多信息,请参阅 步骤 1:为 Amazon Glue 服务创建 IAM policy 和 步骤 2:为 Amazon Glue 创建 IAM 角色。
-
-
选择下一步。
-
最后,检查您选择的权限,然后选择应用更改。当您应用更改时,Amazon Glue 会向您选择的身份添加 IAM 权限。您可以在 IAM 控制台中查看或修改新权限,网址为 https://console.aws.amazon.com/iam/
。
现在,您已经完成了为 Amazon Glue 设置最低 IAM 权限。在生产环境中,我们建议您熟悉 Amazon Glue 中的安全性 和 适用于 Amazon Glue 的 Identity and Access Management,帮助您保护用例的 Amazon 资源。
后续步骤
现在您已经设置了 IAM 权限,您可以探索以下主题以开始使用 Amazon Glue: