Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Schritt 3: Fügen Sie eine Richtlinie an Benutzer an, die auf AWS Glue zugreifen Der Administrator muss allen Benutzern, Gruppen oder Rollen mithilfe der AWS Glue Konsole oder AWS Command Line Interface (AWS CLI) Berechtigungen zuweisen. Sie stellen diese Berechtigungen bereit, indem Sie AWS Identity and Access Management (IAM) durch Richtlinien verwenden. Dieser Schritt beschreibt die Zuweisung von Berechtigungen an Benutzer oder Gruppen. Wenn Sie diesen Schritt abgeschlossen haben, sind Ihrem Benutzer oder Ihrer Gruppe die folgenden Richtlinien angefügt: + Die AWS verwaltete Richtlinie `AWSGlueConsoleFullAccess` oder die benutzerdefinierte Richtlinie **GlueConsoleAccessPolicy** + **`AWSGlueConsoleSageMakerNotebookFullAccess`** + **`CloudWatchLogsReadOnlyAccess`** + **`AWSCloudFormationReadOnlyAccess`** + **`AmazonAthenaFullAccess`** **So fügen Sie eine Inlinerichtlinie an und betten sie in einen Benutzer oder eine Gruppe ein** Sie können einem Benutzer oder einer Gruppe eine AWS verwaltete Richtlinie oder eine Inline-Richtlinie zuordnen, um auf die AWS Glue Konsole zuzugreifen. Einige der in dieser Richtlinie angegebenen Ressourcen beziehen sich auf Standardnamen, die von AWS Glue Amazon S3-Buckets, Amazon S3-ETL-Skripts CloudFormation, CloudWatch Protokollen und Amazon EC2 EC2-Ressourcen verwendet werden. Der Einfachheit halber schreibt AWS Glue einige Amazon-S3-Objekte in Buckets in Ihrem Konto mit dem Standardpräfix `aws-glue-*`. **Anmerkung** Sie können diesen Schritt überspringen, wenn Sie die AWS verwaltete Richtlinie verwenden. **`AWSGlueConsoleFullAccess`** **Wichtig** AWS Glue benötigt die Berechtigung zum Annehmen einer Rolle, die verwendet wird, um in Ihrem Namen Aufgaben zu erledigen. **Zu diesem Zweck fügen Sie Ihren AWS Glue-Benutzern oder -Gruppen die `iam:PassRole`-Berechtigungen hinzu.** Diese Richtlinie erteilt eine Berechtigung für Rollen, die mit `AWSGlueServiceRole` für AWS Glue-Servicerollen beginnen und `AWSGlueServiceNotebookRole` für Rollen, die beim Erstellen eines Notebook-Servers erforderlich sind. Sie können auch eine eigene Richtlinie für `iam:PassRole`-Berechtigungen erstellen, die Ihrer Benennungskonvention entsprechen. Gemäß den bewährten Sicherheitsmethoden wird empfohlen, den Zugriff einzuschränken, indem die Richtlinien verschärft werden, um den Zugriff auf Amazon S3 S3-Buckets und Amazon CloudWatch Protokollgruppen weiter einzuschränken. Eine Amazon-S3-Beispielrichtlinie finden Sie unter [Schreiben von IAM-Richtlinien: So gewähren Sie Zugriff auf einen Amazon-S3-Bucket](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/). In diesem Schritt erstellen Sie eine ähnliche Richtlinie wie `AWSGlueConsoleFullAccess`. Die aktuelle Version von `AWSGlueConsoleFullAccess` finden Sie in der IAM-Konsole. 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Wählen Sie im Navigationsbereich **Benutzer** oder **Benutzergruppen**. 1. Wählen Sie in der Liste den Namen des Benutzers oder der Gruppe, in die eine Richtlinie eingebettet werden soll. 1. Wählen Sie die Registerkarte **Permissions (Berechtigungen)** aus und erweitern Sie ggf. den Abschnitt **Permissions policies (Berechtigungsrichtlinien)**. 1. Wählen Sie den Link **Add Inline policy** (Inlinerichtlinie hinzufügen) aus. 1. Navigieren Sie auf dem Bildschirm **Create Policy** (Richtlinie erstellen) zu einer Registerkarte, um JSON zu bearbeiten. Erstellen Sie ein Richtliniendokument mit den folgenden JSON-Anweisungen und wählen Sie dann **Review Policy** (Richtlinie überprüfen) aus. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:*", "redshift:DescribeClusters", "redshift:DescribeClusterSubnetGroups", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:DescribeVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeInstances", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBSubnetGroups", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "dynamodb:ListTables", "kms:ListAliases", "kms:DescribeKey", "cloudwatch:GetMetricData", "cloudwatch:ListDashboards" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*/*aws-glue-*/*", "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:/aws-glue/*" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/aws-glue*/*" }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:image/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceNotebookRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/service-role/AWSGlueServiceRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] } ``` ------ Die folgende Tabelle beschreibt die Berechtigungen, die von dieser Richtlinie erteilt werden. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/glue/latest/dg/attach-policy-iam-user.html) 1. Geben Sie auf dem Bildschirm **„Richtlinie überprüfen**“ beispielsweise **GlueConsoleAccessPolicy**einen Namen für die Richtlinie ein. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy (Richtlinie erstellen)**. Stellen Sie sicher, dass in dem roten Feld am oberen Bildschirmrand keine Fehler angezeigt werden. Korrigieren Sie etwaige Fehler. **Anmerkung** Bei ausgewählter Option **Use autoformatting ** wird die Richtlinie neu formatiert, wenn Sie sie öffnen oder die Option **Validate Policy** auswählen. **Um die AWSGlue ConsoleFullAccess verwaltete Richtlinie anzuhängen** Sie können die Richtlinie `AWSGlueConsoleFullAccess` anfügen, um Berechtigungen zu erteilen, die vom AWS Glue-Konsolenbenutzer benötigt werden. **Anmerkung** Sie können diesen Schritt überspringen, wenn Sie Ihre eigene Richtlinie für den AWS Glue-Konsolenzugriff erstellt haben. 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Wählen Sie im Navigationsbereich **Richtlinien**. 1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben dem **AWSGlueConsoleFullAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern. 1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**. 1. Wählen Sie den Benutzer aus, an den Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf **Attach Policy** (Richtlinie anfügen). **Die von `AWSGlueConsoleSageMakerNotebookFullAccess` verwaltete Richtlinie anfügen** Sie können die `AWSGlueConsoleSageMakerNotebookFullAccess` Richtlinie einem Benutzer zuordnen, um SageMaker KI-Notizbücher zu verwalten, die auf der AWS Glue Konsole erstellt wurden. Zusätzlich zu anderen erforderlichen AWS Glue Konsolenberechtigungen gewährt diese Richtlinie Zugriff auf Ressourcen, die für die Verwaltung von SageMaker KI-Notizbüchern benötigt werden. 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Wählen Sie im Navigationsbereich **Richtlinien**. 1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben dem **AWSGlueConsoleSageMakerNotebookFullAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern. 1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**. 1. Wählen Sie den Benutzer aus, an den Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf **Attach Policy** (Richtlinie anfügen). **Um die CloudWatchLogsReadOnlyAccess verwaltete Richtlinie anzuhängen** Sie können die **CloudWatchLogsReadOnlyAccess**Richtlinie an einen Benutzer anhängen, um die von erstellten Protokolle in AWS Glue der CloudWatch Logs-Konsole anzuzeigen. 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Wählen Sie im Navigationsbereich **Richtlinien**. 1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben dem **CloudWatchLogsReadOnlyAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern. 1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**. 1. Wählen Sie den Benutzer aus, an den Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf **Attach Policy** (Richtlinie anfügen). **Um die AWSCloud FormationReadOnlyAccess verwaltete Richtlinie anzuhängen** Sie können die **AWSCloudFormationReadOnlyAccess**Richtlinie einem Benutzer zuordnen, um die von verwendeten CloudFormation Stacks AWS Glue auf der CloudFormation Konsole anzuzeigen. 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Wählen Sie im Navigationsbereich **Richtlinien**. 1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben **AWSCloudFormationReadOnlyAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern. 1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**. 1. Wählen Sie den Benutzer aus, an den Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf **Attach Policy** (Richtlinie anfügen). **Um die AmazonAthenaFullAccess verwaltete Richtlinie anzuhängen** Sie können die **AmazonAthenaFullAccess**Richtlinie an einen Benutzer anhängen, um Amazon S3 S3-Daten in der Athena-Konsole anzuzeigen. 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Wählen Sie im Navigationsbereich **Richtlinien**. 1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben dem **AmazonAthenaFullAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern. 1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**. 1. Wählen Sie den Benutzer aus, an den Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf **Attach Policy** (Richtlinie anfügen).