Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfigurieren von IAM-Berechtigungen für AWS Glue
Sie verwenden AWS Identity and Access Management (IAM), um Richtlinien und Rollen zu definieren, die für den Zugriff auf Ressourcen AWS Glue verwendet werden. Die folgenden Schritte führen Sie durch verschiedene Optionen zum Einrichten der Berechtigungen für AWS Glue. Je nach Ihren geschäftlichen Anforderungen können Sie den Zugriff auf Ihre Ressourcen erweitern oder reduzieren.
**Anmerkung**
Informationen zu den grundlegenden IAM-Berechtigungen für AWS Glue instead finden Sie unter. [Einrichten von IAM-Berechtigungen für AWS Glue](set-up-iam.md)
1. [Erstellen einer IAM-Richtlinie für den AWS Glue-Service](create-service-policy.md): Erstellen Sie eine Servicerichtlinie, die den Zugriff auf AWS Glue-Ressourcen zulässt.
1. [Erstellen einer IAM-Rolle für AWS Glue](create-an-iam-role.md): Erstellen Sie eine IAM-Rolle und fügen Sie die AWS Glue-Servicerichtlinie und eine -Richtlinie für Ihre Amazon Simple Storage Service (Amazon S3)-Ressourcen hinzu, die von AWS Glue verwendet werden.
1. [Anfügen einer Richtlinie an IAM-Benutzer, die auf AWS Glue zugreifen](attach-policy-iam-user.md): Fügen Sie jedem beliebigen IAM-Benutzer, der sich bei der AWS Glue-Konsole anmeldet, Richtlinien an.
1. [Erstellen einer IAM-Richtlinie für Notebooks](create-notebook-policy.md): Erstellen Sie eine Notebook-Server-Richtlinie für die Erstellung von Notebook-Servern auf Entwicklungsendpunkten.
1. [Erstellen einer IAM-Rolle für Notebooks](create-an-iam-role-notebook.md): Erstellen Sie eine IAM-Rolle und fügen Sie die Notebook-Server-Richtlinie an.
1. [Erstellen Sie eine IAM-Richtlinie für Amazon SageMaker AI-Notebooks](create-sagemaker-notebook-policy.md): Erstellen Sie eine IAM-Richtlinie, die bei der Erstellung von Amazon SageMaker AI-Notebooks auf Entwicklungsendpunkten verwendet werden soll.
1. [Erstellen Sie eine IAM-Rolle für Amazon SageMaker AI-Notebooks](create-an-iam-role-sagemaker-notebook.md): Erstellen Sie eine IAM-Rolle und fügen Sie die Richtlinie zur Erteilung von Berechtigungen bei der Erstellung von Amazon SageMaker AI-Notebooks auf Entwicklungsendpunkten hinzu.
# Schritt 1: Erstellen Sie eine IAM-Richtlinie für den AWS Glue-Service
Für jeden Vorgang, der auf Daten auf einer anderen AWS Ressource zugreift, z. B. für den Zugriff auf Ihre Objekte in Amazon S3, ist die Genehmigung AWS Glue erforderlich, in Ihrem Namen auf die Ressource zuzugreifen. Sie gewähren diese Berechtigungen mithilfe von AWS Identity and Access Management (IAM).
**Anmerkung**
Sie können diesen Schritt überspringen, wenn Sie die AWS verwaltete Richtlinie `AWSGlueServiceRole` verwenden.
In diesem Schritt erstellen Sie eine ähnliche Richtlinie wie `AWSGlueServiceRole`. Die aktuelle Version von `AWSGlueServiceRole` finden Sie in der IAM-Konsole.
**Um eine IAM-Richtlinie zu erstellen für AWS Glue**
Diese Richtlinie erteilt die Berechtigung für einige Amazon-S3-Aktionen zur Verwaltung von Ressourcen in Ihrem Konto, die der AWS Glue-Service benötigt, wenn er die Rolle mit dieser Richtlinie annimmt. Einige der in dieser Richtlinie angegebenen Ressourcen beziehen sich auf Standardnamen, die von AWS Glue Amazon S3-Buckets, Amazon S3-ETL-Skripts, CloudWatch Protokollen und Amazon EC2 EC2-Ressourcen verwendet werden. Der Einfachheit halber schreibt AWS Glue einige Amazon-S3-Objekte in Buckets in Ihrem Konto mit dem Standardpräfix `aws-glue-*`.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Richtlinien** aus.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Navigieren Sie auf dem Bildschirm **Create Policy** (Richtlinie erstellen) zu einer Registerkarte, um JSON zu bearbeiten. Erstellen Sie ein Richtliniendokument mit den folgenden JSON-Anweisungen und wählen Sie dann **Review Policy** (Richtlinie überprüfen) aus.
**Anmerkung**
Fügen Sie alle erforderlichen Berechtigungen für Amazon-S3-Ressourcen hinzu. Sie können den Umfang des Ressourcenabschnitts in Ihrer Zugriffsrichtlinie auf die Ressourcen beschränken, die erforderlich sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:*",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRouteTables",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetRolePolicy",
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*/*",
"arn:aws:s3:::*/*aws-glue-*/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::crawler-public*",
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:AssociateKmsKey"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws-glue/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"aws-glue-service-resource"
]
}
},
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:instance/*"
]
}
]
}
```
------
Die folgende Tabelle beschreibt die Berechtigungen, die von dieser Richtlinie erteilt werden.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/glue/latest/dg/create-service-policy.html)
1. Geben Sie auf Bildschirm **Review Policy (Richtlinie überprüfen)** Ihren **Policy Name (Richtlinienname)** ein, z. B. **GlueServiceRolePolicy**. Geben Sie eine optionale Beschreibung ein und wählen Sie **Create policy (Richtlinie erstellen)** aus, wenn Sie mit der Richtlinie zufrieden sind.
# Schritt 2: Erstellen einer IAM-Rolle für AWS Glue
Sie müssen Ihrer IAM-Rolle Berechtigungen erteilen, die AWS Glue beim Aufrufen von anderen Services in Ihrem Namen annehmen kann. Dies umfasst den Zugriff auf Amazon S3 für alle Quellen, Ziele, Skripts und temporären Verzeichnisse, die Sie mit AWS Glue verwenden. Die Berechtigung wird von Crawlern, Aufträgen Entwicklungsendpunkten benötigt.
Sie stellen diese Berechtigungen mithilfe von AWS Identity and Access Management (IAM) bereit. Fügen Sie der IAM-Rolle, die Sie an AWS Glue übergeben, eine Richtlinie hinzu.
****Um eine IAM-Rolle im Job-Editor zu erstellen****
1. Wenn Sie einen Job in der AWS Glue Konsole erstellen, suchen Sie den Rollenbereich.
1. Klicken Sie auf **Neue Rolle erstellen**.
1. Ein Inline-Formular zur Rollenerstellung wird geöffnet, mit dem Sie:
+ Geben Sie **den Rollennamen** an, `AWSGlueServiceRoleDefault` z. B.
+ Die verwaltete Richtlinie `AWSGlueServiceRole` wird automatisch ausgewählt.
+ Überprüfen Sie die Vertrauensrichtlinie, um die Rolle zu übernehmen.
+ Fügen Sie optionale Tags für Metadaten hinzu.
1. Wählen Sie **Rolle erstellen** aus.
1. Die neu erstellte Rolle wird automatisch für Ihren Job ausgewählt.
Alternativ können Sie die IAM-Konsole verwenden, um die Rolle zu erstellen:
****So erstellen Sie eine IAM-Rolle für die AWS Glue Verwendung der IAM-Konsole****
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Roles** aus.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie als Typ der vertrauenswürdigen Entität **AWS -Service** aus. Suchen und wählen Sie dann für Service oder Anwendungsfall **AWS Glue** aus. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der Seite **Berechtigungen hinzufügen** die Richtlinien aus, die die erforderlichen Berechtigungen enthalten, z. B. die AWS verwaltete Richtlinie `AWSGlueServiceRole` für allgemeine AWS Glue Berechtigungen und die AWS verwaltete Richtlinie **AmazonS3 FullAccess für den** Zugriff auf Amazon S3-Ressourcen. Klicken Sie anschließend auf **Weiter**.
**Anmerkung**
Stellen Sie sicher, dass eine der Richtlinien in dieser Rolle Berechtigungen für Ihre Amazon-S3-Quellen und -Ziele erteilt. Sie können Ihre eigenen Richtlinien für den Zugriff auf bestimmte Amazon-S3-Ressourcen bereitstellen. Datenquellen erfordern die Berechtigungen `s3:ListBucket` und `s3:GetObject`. Für Datenziele sind die Berechtigungen `s3:ListBucket`, `s3:PutObject` und `s3:DeleteObject` erforderlich. Weitere Informationen zum Erstellen einer Amazon-S3-Richtlinie für Ihre Ressourcen finden Sie unter [Festlegen von Ressourcen in einer Richtlinie](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html). Eine Amazon-S3-Beispielrichtlinie finden Sie unter [Schreiben von IAM-Richtlinien: So gewähren Sie Zugriff auf einen Amazon-S3-Bucket](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).
Wenn Sie vorhaben, auf Amazon-S3-Quellen und -Ziele zuzugreifen, die mit SSE-KMS verschlüsselt sind, fügen Sie eine Richtlinie an, die AWS Glue-Crawlern, Aufträgen und Entwicklungsendpunkten erlaubt, die Daten zu entschlüsseln. Weitere Informationen finden Sie unter [Schutz von Daten mithilfe serverseitiger Verschlüsselung mit AWS KMS verwalteten Schlüsseln (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)).
Im Folgenden wird ein -Beispiel gezeigt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:111122223333:key/key-id"
]
}
]
}
```
1. Benennen Sie Ihre Rolle und fügen Sie eine Beschreibung hinzu (optional). Überprüfen Sie anschließend die Vertrauensrichtlinie und die Berechtigungen. Geben Sie in **Role name (Rollenname)** einen Namen für die Rolle ein, z. B. `AWSGlueServiceRoleDefault`. Erstellen Sie die Rolle mit dem Namenspräfix mit dem String `AWSGlueServiceRole`, damit die Rolle von Konsolenbenutzern an den Service übergeben werden kann. Die von AWS Glue bereitgestellten Richtlinien erwarten, dass IAM-Servicerollen mit `AWSGlueServiceRole` beginnen. Andernfalls müssen Sie eine Richtlinie hinzufügen, um Ihren Benutzern die `iam:PassRole`-Berechtigung zu erteilen, das IAM-Rollen Ihrer Benennungskonvention entsprechen können. Wählen Sie **Rolle erstellen** aus.
**Anmerkung**
Wenn Sie ein Notebook mit einer Rolle erstellen, wird diese Rolle dann an interaktive Sitzungen übergeben, sodass dieselbe Rolle an beiden Stellen verwendet werden kann. Daher muss die `iam:PassRole`-Berechtigung Teil der Richtlinie der Rolle sein.
Erstellen Sie anhand des folgenden Beispiels eine neue Richtlinie für Ihre Rolle. Ersetzen Sie die Kontonummer durch Ihre eigene und den Rollennamen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::090000000210:role/"
}
]
}
```
1. Fügen Sie Ihrer Regel Tags hinzu (optional). Tags sind Schlüssel-Wert-Paare, die Sie Ressourcen hinzufügen können, um AWS Ressourcen zu identifizieren, zu organisieren oder nach ihnen zu suchen. Wählen Sie anschließend **Create role** (Rolle erstellen) aus.
# Schritt 3: Fügen Sie eine Richtlinie an Benutzer an, die auf AWS Glue zugreifen
Der Administrator muss allen Benutzern, Gruppen oder Rollen mithilfe der AWS Glue Konsole oder AWS Command Line Interface (AWS CLI) Berechtigungen zuweisen. Sie stellen diese Berechtigungen bereit, indem Sie AWS Identity and Access Management (IAM) durch Richtlinien verwenden. Dieser Schritt beschreibt die Zuweisung von Berechtigungen an Benutzer oder Gruppen.
Wenn Sie diesen Schritt abgeschlossen haben, sind Ihrem Benutzer oder Ihrer Gruppe die folgenden Richtlinien angefügt:
+ Die AWS verwaltete Richtlinie `AWSGlueConsoleFullAccess` oder die benutzerdefinierte Richtlinie **GlueConsoleAccessPolicy**
+ **`AWSGlueConsoleSageMakerNotebookFullAccess`**
+ **`CloudWatchLogsReadOnlyAccess`**
+ **`AWSCloudFormationReadOnlyAccess`**
+ **`AmazonAthenaFullAccess`**
**So fügen Sie eine Inlinerichtlinie an und betten sie in einen Benutzer oder eine Gruppe ein**
Sie können einem Benutzer oder einer Gruppe eine AWS verwaltete Richtlinie oder eine Inline-Richtlinie zuordnen, um auf die AWS Glue Konsole zuzugreifen. Einige der in dieser Richtlinie angegebenen Ressourcen beziehen sich auf Standardnamen, die von AWS Glue Amazon S3-Buckets, Amazon S3-ETL-Skripts CloudFormation, CloudWatch Protokollen und Amazon EC2 EC2-Ressourcen verwendet werden. Der Einfachheit halber schreibt AWS Glue einige Amazon-S3-Objekte in Buckets in Ihrem Konto mit dem Standardpräfix `aws-glue-*`.
**Anmerkung**
Sie können diesen Schritt überspringen, wenn Sie die AWS verwaltete Richtlinie verwenden. **`AWSGlueConsoleFullAccess`**
**Wichtig**
AWS Glue benötigt die Berechtigung zum Annehmen einer Rolle, die verwendet wird, um in Ihrem Namen Aufgaben zu erledigen. **Zu diesem Zweck fügen Sie Ihren AWS Glue-Benutzern oder -Gruppen die `iam:PassRole`-Berechtigungen hinzu.** Diese Richtlinie erteilt eine Berechtigung für Rollen, die mit `AWSGlueServiceRole` für AWS Glue-Servicerollen beginnen und `AWSGlueServiceNotebookRole` für Rollen, die beim Erstellen eines Notebook-Servers erforderlich sind. Sie können auch eine eigene Richtlinie für `iam:PassRole`-Berechtigungen erstellen, die Ihrer Benennungskonvention entsprechen.
Gemäß den bewährten Sicherheitsmethoden wird empfohlen, den Zugriff einzuschränken, indem die Richtlinien verschärft werden, um den Zugriff auf Amazon S3 S3-Buckets und Amazon CloudWatch Protokollgruppen weiter einzuschränken. Eine Amazon-S3-Beispielrichtlinie finden Sie unter [Schreiben von IAM-Richtlinien: So gewähren Sie Zugriff auf einen Amazon-S3-Bucket](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).
In diesem Schritt erstellen Sie eine ähnliche Richtlinie wie `AWSGlueConsoleFullAccess`. Die aktuelle Version von `AWSGlueConsoleFullAccess` finden Sie in der IAM-Konsole.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Benutzer** oder **Benutzergruppen**.
1. Wählen Sie in der Liste den Namen des Benutzers oder der Gruppe, in die eine Richtlinie eingebettet werden soll.
1. Wählen Sie die Registerkarte **Permissions (Berechtigungen)** aus und erweitern Sie ggf. den Abschnitt **Permissions policies (Berechtigungsrichtlinien)**.
1. Wählen Sie den Link **Add Inline policy** (Inlinerichtlinie hinzufügen) aus.
1. Navigieren Sie auf dem Bildschirm **Create Policy** (Richtlinie erstellen) zu einer Registerkarte, um JSON zu bearbeiten. Erstellen Sie ein Richtliniendokument mit den folgenden JSON-Anweisungen und wählen Sie dann **Review Policy** (Richtlinie überprüfen) aus.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:*",
"redshift:DescribeClusters",
"redshift:DescribeClusterSubnetGroups",
"iam:ListRoles",
"iam:ListUsers",
"iam:ListGroups",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListAttachedRolePolicies",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcAttribute",
"ec2:DescribeKeyPairs",
"ec2:DescribeInstances",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters",
"rds:DescribeDBSubnetGroups",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"cloudformation:DescribeStacks",
"cloudformation:GetTemplateSummary",
"dynamodb:ListTables",
"kms:ListAliases",
"kms:DescribeKey",
"cloudwatch:GetMetricData",
"cloudwatch:ListDashboards"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*/*aws-glue-*/*",
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:/aws-glue/*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack"
],
"Resource": "arn:aws:cloudformation:*:*:stack/aws-glue*/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:image/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com"
]
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSGlueServiceNotebookRole*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"ec2.amazonaws.com"
]
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/service-role/AWSGlueServiceRole*"
],
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com"
]
}
}
}
]
}
```
------
Die folgende Tabelle beschreibt die Berechtigungen, die von dieser Richtlinie erteilt werden.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/glue/latest/dg/attach-policy-iam-user.html)
1. Geben Sie auf dem Bildschirm **„Richtlinie überprüfen**“ beispielsweise **GlueConsoleAccessPolicy**einen Namen für die Richtlinie ein. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy (Richtlinie erstellen)**. Stellen Sie sicher, dass in dem roten Feld am oberen Bildschirmrand keine Fehler angezeigt werden. Korrigieren Sie etwaige Fehler.
**Anmerkung**
Bei ausgewählter Option **Use autoformatting ** wird die Richtlinie neu formatiert, wenn Sie sie öffnen oder die Option **Validate Policy** auswählen.
**Um die AWSGlue ConsoleFullAccess verwaltete Richtlinie anzuhängen**
Sie können die Richtlinie `AWSGlueConsoleFullAccess` anfügen, um Berechtigungen zu erteilen, die vom AWS Glue-Konsolenbenutzer benötigt werden.
**Anmerkung**
Sie können diesen Schritt überspringen, wenn Sie Ihre eigene Richtlinie für den AWS Glue-Konsolenzugriff erstellt haben.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben dem **AWSGlueConsoleFullAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern.
1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**.
1. Wählen Sie den Benutzer aus, an den Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf **Attach Policy** (Richtlinie anfügen).
**Die von `AWSGlueConsoleSageMakerNotebookFullAccess` verwaltete Richtlinie anfügen**
Sie können die `AWSGlueConsoleSageMakerNotebookFullAccess` Richtlinie einem Benutzer zuordnen, um SageMaker KI-Notizbücher zu verwalten, die auf der AWS Glue Konsole erstellt wurden. Zusätzlich zu anderen erforderlichen AWS Glue Konsolenberechtigungen gewährt diese Richtlinie Zugriff auf Ressourcen, die für die Verwaltung von SageMaker KI-Notizbüchern benötigt werden.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben dem **AWSGlueConsoleSageMakerNotebookFullAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern.
1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**.
1. Wählen Sie den Benutzer aus, an den Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf **Attach Policy** (Richtlinie anfügen).
**Um die CloudWatchLogsReadOnlyAccess verwaltete Richtlinie anzuhängen**
Sie können die **CloudWatchLogsReadOnlyAccess**Richtlinie an einen Benutzer anhängen, um die von erstellten Protokolle in AWS Glue der CloudWatch Logs-Konsole anzuzeigen.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben dem **CloudWatchLogsReadOnlyAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern.
1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**.
1. Wählen Sie den Benutzer aus, an den Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf **Attach Policy** (Richtlinie anfügen).
**Um die AWSCloud FormationReadOnlyAccess verwaltete Richtlinie anzuhängen**
Sie können die **AWSCloudFormationReadOnlyAccess**Richtlinie einem Benutzer zuordnen, um die von verwendeten CloudFormation Stacks AWS Glue auf der CloudFormation Konsole anzuzeigen.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben **AWSCloudFormationReadOnlyAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern.
1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**.
1. Wählen Sie den Benutzer aus, an den Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf **Attach Policy** (Richtlinie anfügen).
**Um die AmazonAthenaFullAccess verwaltete Richtlinie anzuhängen**
Sie können die **AmazonAthenaFullAccess**Richtlinie an einen Benutzer anhängen, um Amazon S3 S3-Daten in der Athena-Konsole anzuzeigen.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben dem **AmazonAthenaFullAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern.
1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**.
1. Wählen Sie den Benutzer aus, an den Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf **Attach Policy** (Richtlinie anfügen).
# Schritt 4: Erstellen einer IAM-Richtlinie für Notebook-Server
Wenn Sie Notebooks mit Entwicklungsendpunkten verwenden möchten, müssen Sie beim Erstellen des Notebook-Servers Berechtigungen angeben. Diese Berechtigungen stellen Sie mithilfe von AWS Identity and Access Management (IAM) zur Verfügung.
Diese Richtlinie erteilt die Berechtigung für einige Amazon-S3-Aktionen zur Verwaltung von Ressourcen in Ihrem Konto, die der AWS Glue-Service benötigt, wenn er die Rolle mit dieser Richtlinie annimmt. Einige der in dieser Richtlinie angegebenen Ressourcen beziehen sich auf Standardnamen, die von AWS Glue für Amazon-S3-Buckets, Amazon-S3-ETL-Skripte und Amazon-EC2-Ressourcen verwendet werden. Der Einfachheit halber schreibt AWS Glue standardmäßig einige Amazon-S3-Objekte in Buckets in Ihrem Konto mit dem Präfix `aws-glue-*`.
**Anmerkung**
Sie können diesen Schritt überspringen, wenn Sie die AWS verwaltete Richtlinie verwenden **`AWSGlueServiceNotebookRole`**.
In diesem Schritt erstellen Sie eine ähnliche Richtlinie wie `AWSGlueServiceNotebookRole`. Die aktuelle Version von `AWSGlueServiceNotebookRole` finden Sie in der IAM-Konsole.
**So erstellen Sie eine IAM-Richtlinie für Notebooks**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im linken Navigationsbereich **Richtlinien** aus.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Navigieren Sie auf dem Bildschirm **Create Policy** (Richtlinie erstellen) zu einer Registerkarte, um JSON zu bearbeiten. Erstellen Sie ein Richtliniendokument mit den folgenden JSON-Anweisungen und wählen Sie dann **Review Policy** (Richtlinie überprüfen) aus.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeleteDatabase",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTableVersions",
"glue:GetTables",
"glue:UpdateDatabase",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetJobBookmark",
"glue:ResetJobBookmark",
"glue:CreateConnection",
"glue:CreateJob",
"glue:DeleteConnection",
"glue:DeleteJob",
"glue:GetConnection",
"glue:GetConnections",
"glue:GetDevEndpoint",
"glue:GetDevEndpoints",
"glue:GetJob",
"glue:GetJobs",
"glue:UpdateJob",
"glue:BatchDeleteConnection",
"glue:UpdateConnection",
"glue:GetUserDefinedFunction",
"glue:UpdateUserDefinedFunction",
"glue:GetUserDefinedFunctions",
"glue:DeleteUserDefinedFunction",
"glue:CreateUserDefinedFunction",
"glue:BatchGetPartition",
"glue:BatchDeletePartition",
"glue:BatchCreatePartition",
"glue:BatchDeleteTable",
"glue:UpdateDevEndpoint",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::crawler-public*",
"arn:aws:s3:::aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"aws-glue-service-resource"
]
}
},
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:instance/*"
]
}
]
}
```
------
Die folgende Tabelle beschreibt die Berechtigungen, die von dieser Richtlinie erteilt werden.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/glue/latest/dg/create-notebook-policy.html)
1. Geben Sie auf Bildschirm **Review Policy (Richtlinie überprüfen)** Ihren **Policy Name (Richtlinienname)** ein, z. B. **GlueServiceNotebookPolicyDefault**. Geben Sie eine optionale Beschreibung ein und wählen Sie **Create policy (Richtlinie erstellen)** aus, wenn Sie mit der Richtlinie zufrieden sind.
# Schritt 5: Erstellen einer IAM-Rolle für Notebook-Server
Wenn Sie vorhaben, Notebooks mit Entwicklungsendpunkten zu verwenden, müssen Sie der IAM-Rolle Berechtigungen erteilen. Sie stellen diese Berechtigungen mithilfe von AWS Identity and Access Management IAM über eine IAM-Rolle bereit.
**Anmerkung**
Wenn Sie eine IAM-Rolle mithilfe der IAM-Konsole erstellen, erzeugt die Konsole automatisch ein Instance-Profil und gibt ihm denselben Namen wie der entsprechenden Rolle.
**So erstellen Sie eine IAM-Rolle für Notebooks**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Roles** aus.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie als Rollentyp **AWS Service** aus. Suchen und wählen Sie **EC2** und den Anwendungsfall **EC2** aus. Klicken Sie dann auf **Next: Permissions (Weiter: Berechtigungen)**.
1. Wählen Sie auf der Seite „**Zugriffsrichtlinie anhängen**“ die Richtlinien aus, die die erforderlichen Berechtigungen enthalten, z. B. **AWSGlueServiceNotebookRole**für allgemeine AWS Glue Berechtigungen und die AWS verwaltete Richtlinie **AmazonS3 FullAccess für den** Zugriff auf Amazon S3-Ressourcen. Wählen Sie dann **Next: Review** aus.
**Anmerkung**
Stellen Sie sicher, dass eine der Richtlinien in dieser Rolle Berechtigungen für Ihre Amazon-S3-Quellen und -Ziele erteilt. Vergewissern Sie sich außerdem, dass Ihre Richtlinie vollständigen Zugriff auf den Speicherort zulässt, an dem Sie Ihr Notebook ablegen, wenn Sie einen Notebook-Server erstellen. Sie können Ihre eigenen Richtlinien für den Zugriff auf bestimmte Amazon-S3-Ressourcen bereitstellen. Weitere Informationen zum Erstellen einer Amazon-S3-Richtlinie für Ihre Ressourcen finden Sie unter [Festlegen von Ressourcen in einer Richtlinie](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html).
Wenn Sie vorhaben, auf Amazon-S3-Quellen und -Ziele zuzugreifen, die mit SSE-KMS verschlüsselt sind, fügen Sie eine Richtlinie an, die Notebooks erlaubt, die Daten zu entschlüsseln. Weitere Informationen finden Sie unter [Schutz von Daten mithilfe serverseitiger Verschlüsselung mit AWS KMS verwalteten Schlüsseln (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)).
Im Folgenden wird ein -Beispiel gezeigt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:111122223333:key/key-id"
]
}
]
}
```
1. Geben Sie unter **Role name (Rollenname)** einen Namen für Ihre Rolle ein. Erstellen Sie die Rolle mit dem Namenspräfix `AWSGlueServiceNotebookRole`, damit die Rolle von Konsolenbenutzern an den Notebook-Server übergeben werden kann. Die von AWS Glue bereitgestellten Richtlinien erwarten, dass IAM-Servicerollen mit `AWSGlueServiceNotebookRole` beginnen. Andernfalls müssen Sie Ihren Benutzern eine Richtlinie hinzufügen, damit die `iam:PassRole`-Berechtigung für IAM-Rollen Ihren Benennungskonvention entspricht. Geben Sie z. B. ei `AWSGlueServiceNotebookRoleDefault`. Wählen Sie dann **Create Role**.
# Schritt 6: Erstellen Sie eine IAM-Richtlinie für SageMaker KI-Notebooks
Wenn Sie SageMaker KI-Notebooks mit Entwicklungsendpunkten verwenden möchten, müssen Sie bei der Erstellung des Notebooks Berechtigungen angeben. Diese Berechtigungen stellen Sie mithilfe von AWS Identity and Access Management (IAM) zur Verfügung.
**Um eine IAM-Richtlinie für SageMaker KI-Notebooks zu erstellen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Richtlinien** aus.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Navigieren Sie auf der Seite **Create Policy (Richtlinie erstellen)** zu einer Registerkarte, um das JSON zu bearbeiten. Erstellen Sie ein Richtliniendokument mit den folgenden JSON-Anweisungen. Bearbeiten Sie *bucket-name**region-code*, und *account-id* für Ihre Umgebung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket*"
]
},
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/*",
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"
]
},
{
"Action": [
"glue:UpdateDevEndpoint",
"glue:GetDevEndpoint",
"glue:GetDevEndpoints"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:us-east-1:111122223333:devEndpoint/*"
]
},
{
"Action": [
"sagemaker:ListTags"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/*"
]
}
]
}
```
------
Wählen Sie dann **Review policy (Richtlinie prüfen)**.
Die folgende Tabelle beschreibt die Berechtigungen, die von dieser Richtlinie erteilt werden.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/glue/latest/dg/create-sagemaker-notebook-policy.html)
1. Geben Sie auf Bildschirm **Review Policy (Richtlinie überprüfen)** Ihren **Policy Name (Richtlinienname)** ein, z. B. `AWSGlueSageMakerNotebook`. Geben Sie eine optionale Beschreibung ein und wählen Sie **Create policy (Richtlinie erstellen)** aus, wenn Sie mit der Richtlinie zufrieden sind.
# Schritt 7: Erstellen Sie eine IAM-Rolle für SageMaker KI-Notebooks
Wenn Sie SageMaker KI-Notebooks mit Entwicklungsendpunkten verwenden möchten, müssen Sie der IAM-Rolle Berechtigungen erteilen. Sie stellen diese Berechtigungen mithilfe von AWS Identity and Access Management (IAM) über eine IAM-Rolle bereit.
**Um eine IAM-Rolle für KI-Notebooks zu erstellen SageMaker**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Roles** aus.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie als Rollentyp **AWS Service**, suchen und wählen Sie **SageMaker**und wählen Sie dann den **SageMaker Anwendungsfall Ausführung** aus. Wählen Sie dann **Next: Permissions**.
1. Wählen Sie auf der Seite „**Berechtigungsrichtlinie anhängen**“ die Richtlinien aus, die die erforderlichen Berechtigungen enthalten, **AmazonSageMakerFullAccess**z. B. Wählen Sie **Weiter: Prüfen** aus.
Wenn Sie vorhaben, auf Amazon-S3-Quellen und -Ziele zuzugreifen, die mit SSE-KMS verschlüsselt sind, fügen Sie eine Richtlinie an, die Notebooks erlaubt, die Daten zu entschlüsseln, wie im folgenden Beispiel gezeigt. Weitere Informationen finden Sie unter [Schützen von Daten mithilfe serverseitiger Verschlüsselung mit AWS KMS verwalteten Schlüsseln (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:111122223333:key/key-id"
]
}
]
}
```
------
1. Geben Sie unter **Role name (Rollenname)** einen Namen für Ihre Rolle ein. Verwenden Sie einen Namen, dem die Zeichenfolge vorangestellt wird, damit die Rolle von Konsolenbenutzern an SageMaker AI weitergegeben werden kann. `AWSGlueServiceSageMakerNotebookRole` AWS Gluevorausgesetzt, Richtlinien gehen davon aus, dass zunächst IAM-Rollen verwendet werden. `AWSGlueServiceSageMakerNotebookRole` Andernfalls müssen Sie Ihren Benutzern eine Richtlinie hinzufügen, damit die `iam:PassRole`-Berechtigung für IAM-Rollen Ihren Benennungskonvention entspricht.
Geben Sie zum Beispiel `AWSGlueServiceSageMakerNotebookRole-Default` ein und klicken Sie auf **Create role (Rolle erstellen)**.
1. Nachdem Sie die Rolle erstellt haben, fügen Sie die Richtlinie hinzu, die zusätzliche Berechtigungen ermöglicht, die für die Erstellung von SageMaker AWS Glue KI-Notebooks erforderlich sind.
Wählen Sie die gerade erstellte Rolle `AWSGlueServiceSageMakerNotebookRole-Default` und dann **Attach policies (Richtlinien anfügen)**. Fügen Sie die erstellte Richtlinie `AWSGlueSageMakerNotebook` der Rolle an.