# 为 Amazon Glue 设置 IAM 权限
本主题中的说明可帮助您为 Amazon Glue 快速设置 Amazon Identity and Access Management (IAM) 权限。您需要完成以下任务:
+ 授予您的 IAM 身份访问 Amazon Glue 资源的权限。
+ 创建用于运行作业、访问数据和运行 Amazon Glue Data Quality 任务的服务角色。
有关可用于为 [为 Amazon Glue 配置 IAM 权限](configure-iam-for-glue.md) 自定义 IAM 权限的详细说明,请参阅 Amazon Glue。
**在 Amazon Web Services 管理控制台 中为 Amazon Glue 设置 IAM 权限**
1. 登录 Amazon Web Services 管理控制台,然后打开 Amazon Glue 控制台,网址为:[https://console.aws.amazon.com/glue/](https://console.amazonaws.cn/glue/)。
1. 选择**开始使用**。
1. 在**为 Amazon Glue 准备好账号**下,选择**设置 IAM 权限**。
1. 选择您要向其授予 Amazon Glue 权限的 IAM 身份(角色或用户)。Amazon Glue 将 `[AWSGlueConsoleFullAccess](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)` 托管策略附加到这些身份。如果您想手动设置这些权限或只想设置默认服务角色,则可以跳过此步骤。
1. 选择**下一步**。
1. 选择您的角色和用户需要的 Amazon S3 访问权限级别。您在此步骤中选择的选项将应用于您选择的所有身份。
1. 在**选择 S3 地点**下,选择您想要授予访问权限的 Amazon S3 地点。
1. 接下来,选择您的身份应该对您之前选择的位置具有**只读(推荐)**还是**读写**权限。Amazon Glue 根据您选择的位置和读取或写入权限的组合为您的身份添加权限策略。
下表显示了 Amazon Glue 为访问 Amazon S3 而附加的权限。
****
[See the AWS documentation website for more details](http://docs.amazonaws.cn/glue/latest/dg/set-up-iam.html)
1. 选择**下一步**。
1. 为您的账户选择默认 Amazon Glue 服务角色。服务角色是一个 IAM 角色,Amazon Glue 用于代表您访问其他 Amazon 服务中的资源。有关更多信息,请参阅 [Amazon Glue 的服务角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service)。
+ 当您选择标准 Amazon Glue 服务角色时,Amazon Glue 会在您的名为 `AWSGlueServiceRole` 的 Amazon Web Services 账户 中创建一个新的 IAM 角色,并附加以下托管策略。如果您的账户已经有一个名为 `AWSGlueServiceRole` 的 IAM 角色,Amazon Glue 会将这些策略附加到现有角色。
+ [ AWSGlueServiceRole](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole) – 此托管策略是 Amazon Glue 代表您访问和管理资源所必需的。它允许 Amazon Glue 创建、更新和删除各种资源,例如 Amazon Glue 作业、爬网程序和连接。此策略还授予 Amazon Glue 出于记录目的访问 Amazon CloudWatch 日志的权限。为了便于入门,我们建议您使用此策略来学习如何使用 Amazon Glue。随着您逐渐熟悉 Amazon Glue,您可以创建策略,以便根据需要微调对资源的访问权限。
+ [AWSGlueConsoleFullAccess](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess) - 此托管策略通过 Amazon Web Services 管理控制台 授予对 Amazon Glue 服务的完全访问权限。该策略授予在 Amazon Glue 内执行任何操作的权限,使您能够根据需要创建、修改和删除任何 Amazon Glue 资源。但需要注意的是,此策略不授予访问 ETL 流程中可能涉及的底层数据存储或其他 Amazon 服务的权限。由于 `AWSGlueConsoleFullAccess` 策略授予的权限范围很广,因此在分配权限时应谨慎行事,并遵循最低权限原则。一般建议尽可能创建和使用针对特定用例和要求的更细粒度的策略。
+ [ AWSGlueConsole-S3-read-only-policy](https://console.amazonaws.cn/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-only-policy) – 此策略允许 GLU 从指定的 Amazon S3 存储桶读取数据,但不授予在 Amazon S3 中写入或修改数据的权限,或者
[ AWSGlueConsole-S3-read-and-write](https://console.amazonaws.cn/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-and-write) – 该策略允许 Amazon Glue 将数据读写到指定的 Amazon S3 存储桶,作为 ETL 流程的一部分。
+ 当您选择现有 IAM 角色时,Amazon Glue 会将该角色设置为默认角色,但不会向其添加 `AWSGlueServiceRole` 权限。确保您已将角色配置为用作 Amazon Glue 的服务角色。有关更多信息,请参阅 [步骤 1:为 Amazon Glue 服务创建 IAM policy](create-service-policy.md) 和 [步骤 2:为 Amazon Glue 创建 IAM 角色](create-an-iam-role.md)。
1. 选择**下一步**。
1. 最后,检查您选择的权限,然后选择**应用更改**。当您应用更改时,Amazon Glue 会向您选择的身份添加 IAM 权限。您可以在 IAM 控制台中查看或修改新权限,网址为 [https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/)。
现在,您已经完成了为 Amazon Glue 设置最低 IAM 权限。在生产环境中,我们建议您熟悉 [Amazon Glue 中的安全性](security.md) 和 [适用于 Amazon Glue 的 Identity and Access Management](security-iam.md),帮助您保护用例的 Amazon 资源。
## 后续步骤
现在您已经设置了 IAM 权限,您可以探索以下主题以开始使用 Amazon Glue:
+ [Amazon Skill Builder 中的 Amazon Glue 入门](https://explore.skillbuilder.aws/learn/course/external/view/elearning/8171/getting-started-with-aws-glue)
+ [开始使用 Amazon Glue Data Catalog](start-data-catalog.md)