为 Amazon Glue 设置 IAM 权限 - Amazon Glue
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为 Amazon Glue 设置 IAM 权限

本主题中的说明可帮助您为 Amazon Glue 快速设置 Amazon Identity and Access Management(IAM)权限。您需要完成以下任务:

  • 授予您的 IAM 身份访问 Amazon Glue 资源的权限。

  • 创建用于运行作业、访问数据和运行 Amazon Glue Data Quality 任务的服务角色。

有关可用于为 为 Amazon Glue 配置 IAM 权限 自定义 IAM 权限的详细说明,请参阅 Amazon Glue。

在 Amazon Web Services Management Console 中为 Amazon Glue 设置 IAM 权限
  1. 登录 Amazon Web Services Management Console,然后打开 Amazon Glue 控制台,网址为:https://console.aws.amazon.com/glue/

  2. 选择开始使用

  3. 为 Amazon Glue 准备好账号下,选择设置 IAM 权限

  4. 选择您要向其授予 Amazon Glue 权限的 IAM 身份(角色或用户)。Amazon Glue 将 AWSGlueConsoleFullAccess 托管策略附加到这些身份。如果您想手动设置这些权限或只想设置默认服务角色,则可以跳过此步骤。

  5. 选择 Next(下一步)。

  6. 选择您的角色和用户需要的 Amazon S3 访问权限级别。您在此步骤中选择的选项将应用于您选择的所有身份。

    1. 选择 S3 地点下,选择您想要授予访问权限的 Amazon S3 地点。

    2. 接下来,选择您的身份应该对您之前选择的位置具有只读(推荐)还是读写权限。Amazon Glue 根据您选择的位置和读取或写入权限的组合为您的身份添加权限策略。

      下表显示了 Amazon Glue 为访问 Amazon S3 而附加的权限。

      如果选择…… Amazon Glue 附加……
      无更改 没有权限。Amazon Glue 不会对您的身份权限执行任何更改。
      授予对特定 Amazon S3 地点的访问权限(只读)

      在您选择的 IAM 身份中嵌入内联策略。有关更多信息,请参阅《IAM 用户指南》中的 Inline policies

      Amazon Glue 使用以下惯例命名策略:AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID>。例如:AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123

      以下是 Amazon Glue 附加的内联策略示例,该策略用于授予对指定 Amazon S3 位置的只读访问权限。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ] } ] }
      授予对特定 Amazon S3 地点的访问权限(读写) 在您选择的 IAM 身份中嵌入内联策略。有关更多信息,请参阅《IAM 用户指南》中的 Inline policies

      Amazon Glue 使用以下惯例命名策略:AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID>。例如:AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123

      以下是 Amazon Glue 附加的内联策略示例,该策略用于授予对指定 Amazon S3 位置的读写访问权限。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:*Object*" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*" ] } ] }
      授予对 Amazon S3 的完全访问权限(只读) AmazonS3ReadOnlyAccess 托管 IAM policy。要了解更多信息,请参阅 Amazon managed policy: AmazonS3ReadOnlyAccess
      授予对 Amazon S3 的完全访问权限(读写) AmazonS3FullAccess 托管 IAM policy。要了解更多信息,请参阅 Amazon managed policy: AmazonS3FullAccess
  7. 选择 Next(下一步)。

  8. 为您的账户选择默认 Amazon Glue 服务角色。服务角色是一个 IAM 角色,Amazon Glue 用于代表您访问其他 Amazon 服务中的资源。有关更多信息,请参阅Amazon Glue 的服务角色

    • 当您选择标准 Amazon Glue 服务角色时,Amazon Glue 会在您的名为 AWSGlueServiceRole 的 Amazon Web Services 账户 中创建一个新的 IAM 角色,并附加以下托管策略。如果您的账户已经有一个名为 AWSGlueServiceRole 的 IAM 角色,Amazon Glue 会将这些策略附加到现有角色。

    • 当您选择现有 IAM 角色时,Amazon Glue 会将该角色设置为默认角色,但不会向其添加任何权限。确保您已将角色配置为用作 Amazon Glue 的服务角色。有关更多信息,请参阅 步骤 1:为 Amazon Glue 服务创建 IAM policy步骤 2:为 Amazon Glue 创建 IAM 角色

  9. 选择 Next(下一步)。

  10. 最后,检查您选择的权限,然后选择应用更改。当您应用更改时,Amazon Glue 会向您选择的身份添加 IAM 权限。您可以在 IAM 控制台中查看或修改新权限,网址为 https://console.aws.amazon.com/iam/

现在,您已经完成了为 Amazon Glue 设置最低 IAM 权限。在生产环境中,我们建议您熟悉 Amazon Glue 中的安全性适用于 Amazon Glue 的 Identity and Access Management,帮助您保护用例的 Amazon 资源。

后续步骤

现在您已经设置了 IAM 权限,您可以探索以下主题以开始使用 Amazon Glue: