Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einrichten von IAM-Berechtigungen für AWS Glue
Die Anweisungen in diesem Thema helfen Ihnen beim schnellen Einrichten von AWS Identity and Access Management (IAM-) Berechtigungen für. AWS Glue Sie werden folgende Aufgaben erledigen:
+ Gewähren Sie Ihren IAM-Identitäten Zugriff auf Ressourcen. AWS Glue
+ Erstellen Sie eine Servicerolle für die Ausführung von Jobs, den Zugriff auf Daten und die Ausführung von AWS Glue Datenqualitätsaufgaben.
Ausführliche Anweisungen, mit denen Sie die IAM-Berechtigungen anpassen können AWS Glue, finden Sie unter[Konfigurieren von IAM-Berechtigungen für AWS Glue](configure-iam-for-glue.md).
**So richten Sie IAM-Berechtigungen ein für AWS Glue in AWS-Managementkonsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Glue Konsole unter [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).
1. Wählen Sie **Getting started (Erste Schritte)**.
1. Wählen **Sie unter Konto vorbereiten für AWS Glue die** Option **IAM-Berechtigungen einrichten** aus.
1. Wählen Sie die IAM-Identitäten (Rollen oder Benutzer) aus, denen Sie Berechtigungen erteilen AWS Glue möchten. AWS Glue hängt die `[AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)` verwaltete Richtlinie an diese Identitäten an. Sie können diesen Schritt überspringen, wenn Sie diese Berechtigungen manuell festlegen möchten oder nur eine Standardeinstellung für die Servicerolle festlegen möchten.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie die Amazon-S3-Zugriffsebene, die Ihre Rollen und Benutzer benötigen. Die Optionen, die Sie in diesem Schritt auswählen, werden auf alle von Ihnen ausgewählten Identitäten angewendet.
1. Wählen Sie unter **S3-Standorte auswählen** die Amazon-S3-Standorte aus, auf die Sie Zugriff gewähren möchten.
1. Wählen Sie als Nächstes aus, ob Ihre Identitäten **nur Lesezugriff (empfohlen)** oder **Lese- und Schreibzugriff** auf die zuvor ausgewählten Speicherorte haben sollen. AWS Glue fügt Ihren Identitäten basierend auf der von Ihnen ausgewählten Kombination aus Speicherorten und Lese- oder Schreibberechtigungen Berechtigungsrichtlinien hinzu.
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die AWS Glue für den Zugriff auf Amazon S3 gelten.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/glue/latest/dg/set-up-iam.html)
1. Wählen Sie **Weiter** aus.
1. Wählen Sie eine AWS Glue Standard-Servicerolle für Ihr Konto. Eine Servicerolle ist eine IAM-Rolle, die AWS Glue verwendet wird, um in Ihrem Namen auf Ressourcen in anderen AWS Diensten zuzugreifen. Weitere Informationen finden Sie unter [Servicerollen für AWS Glue](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service).
+ Wenn Sie sich für die AWS Glue Standard-Servicerolle entscheiden, AWS Glue wird in Ihrem AWS-Konto Namen eine neue IAM-Rolle `AWSGlueServiceRole` mit den folgenden verwalteten Richtlinien erstellt. Wenn Ihr Konto bereits eine IAM-Rolle mit dem Namen hat`AWSGlueServiceRole`, werden diese Richtlinien AWS Glue an die bestehende Rolle angehängt.
+ [ AWSGlueServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole)— Diese verwaltete Richtlinie ist erforderlich, AWS Glue damit Sie in Ihrem Namen auf Ressourcen zugreifen und diese verwalten können. Sie AWS Glue ermöglicht das Erstellen, Aktualisieren und Löschen verschiedener Ressourcen wie AWS Glue Jobs, Crawler und Verbindungen. Diese Richtlinie gewährt auch Berechtigungen für den Zugriff auf Amazon CloudWatch Protokolle AWS Glue zu Protokollierungszwecken. Für den Einstieg empfehlen wir, diese Richtlinie zu verwenden, um sich mit der Verwendung von AWS Glue vertraut zu machen. Wenn Sie sich damit vertraut gemacht haben AWS Glue, können Sie Richtlinien erstellen, mit denen Sie den Zugriff auf Ressourcen nach Bedarf optimieren können.
+ [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)— Diese verwaltete Richtlinie gewährt vollen Zugriff auf den AWS Glue Service über die AWS-Managementkonsole. Diese Richtlinie gewährt Berechtigungen zur Ausführung aller darin enthaltenen AWS Glue Vorgänge und ermöglicht es Ihnen, jede AWS Glue Ressource nach Bedarf zu erstellen, zu ändern und zu löschen. Es ist jedoch wichtig zu beachten, dass diese Richtlinie keine Berechtigungen für den Zugriff auf die zugrunde liegenden Datenspeicher oder andere AWS Dienste gewährt, die möglicherweise am ETL-Prozess beteiligt sind. Aufgrund des breiten Umfangs der durch die `AWSGlueConsoleFullAccess`-Richtlinie gewährten Berechtigungen sollte sie mit Vorsicht und unter Beachtung des Prinzips geringster Berechtigungen vergeben werden. Es wird allgemein empfohlen, wann immer möglich detailliertere Richtlinien zu erstellen und anzuwenden, die auf bestimmte Anwendungsfälle und Anforderungen zugeschnitten sind.
+ [ AWSGlueConsole-S3- read-only-policy](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-only-policy) — Diese Richtlinie AWS Glue ermöglicht das Lesen von Daten aus bestimmten Amazon S3-Buckets, gewährt jedoch keine Berechtigungen zum Schreiben oder Ändern von Daten in Amazon S3 oder
[ AWSGlueConsole-S3- read-and-write](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-and-write) — Diese Richtlinie ermöglicht AWS Glue das Lesen und Schreiben von Daten in bestimmte Amazon S3 S3-Buckets als Teil des ETL-Prozesses.
+ Wenn Sie eine bestehende IAM-Rolle auswählen, AWS Glue legt diese Rolle als Standard fest, fügt ihr jedoch keine `AWSGlueServiceRole` Berechtigungen hinzu. Stellen Sie sicher, dass Sie die Rolle so konfiguriert haben, dass sie als Servicerolle für AWS Glue verwendet werden soll. Weitere Informationen erhalten Sie unter [Schritt 1: Erstellen Sie eine IAM-Richtlinie für den AWS Glue-Service](create-service-policy.md) und [Schritt 2: Erstellen einer IAM-Rolle für AWS Glue](create-an-iam-role.md).
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie abschließend die von Ihnen ausgewählten Berechtigungen und wählen Sie dann **Änderungen übernehmen** aus. Wenn Sie die Änderungen übernehmen, werden den ausgewählten Identitäten IAM-Berechtigungen AWS Glue hinzugefügt. Sie können die neuen Berechtigungen in der IAM-Konsole unter anzeigen oder ändern. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
Sie haben jetzt die Einrichtung der IAM-Mindestberechtigungen für abgeschlossen. AWS Glue In einer Produktionsumgebung empfehlen wir Ihnen, sich mit den AWS Ressourcen für Ihren Anwendungsfall vertraut [Identitäts- und Zugriffsmanagement für AWS Glue](security-iam.md) zu machen [Sicherheit in AWS Glue](security.md) und Ihnen zu helfen, diese zu sichern.
## Nächste Schritte
Nachdem Sie nun die IAM-Berechtigungen eingerichtet haben, können Sie die folgenden Themen erkunden, um mit der Verwendung von AWS Glue zu beginnen:
+ [Erste Schritte mit AWS Glue in AWS Skill Builder](https://explore.skillbuilder.aws/learn/course/external/view/elearning/8171/getting-started-with-aws-glue)
+ [Erste Schritte mit AWS Glue Data Catalog](start-data-catalog.md)
# Einrichten für AWS Glue Studio
Führen Sie die Aufgaben in diesem Abschnitt aus, wenn Sie AWS Glue zum ersten Mal für visuelle ETL-Prozesse verwenden:
**Topics**
+ [Erforderliche IAM-Berechtigungen für den AWS Glue Studio-Benutzer überprüfen](getting-started-min-privs.md)
+ [Erforderliche IAM-Berechtigungen für ETL-Aufträge überprüfen](getting-started-min-privs-job.md)
+ [Einstellen von IAM-Berechtigungen für AWS Glue Studio](getting-started-iam-permissions.md)
+ [Konfigurieren Sie eine VPC für Ihren ETL-Auftrag](getting-started-vpc-config.md)
# Erforderliche IAM-Berechtigungen für den AWS Glue Studio-Benutzer überprüfen
Für die Verwendung AWS Glue Studio muss der Benutzer Zugriff auf verschiedene AWS Ressourcen haben. Der Benutzer muss Amazon-S3-Buckets, IAM-Richtlinien und -Rollen sowie AWS Glue Data Catalog-Objekte anzeigen und auswählen können.
## AWS Glue-Service-Berechtigungen
AWS Glue Studio verwendet die Aktionen und Ressourcen des AWS Glue-Services. Ihr Benutzer benötigt Berechtigungen für diese Aktionen und Ressourcen, um AWS Glue Studio sinnvoll verwenden zu können. Sie können für den AWS Glue Studio-Benutzer die verwaltete Richtlinie `AWSGlueConsoleFullAccess` aktivieren oder eine benutzerdefinierte Richtlinie mit weniger Berechtigungen erstellen.
**Wichtig**
Im Sinne der Sicherheit hat es sich bewährt, den Zugriff auf Amazon-S3-Bucket- und Amazon CloudWatch -Protokoll-Gruppen durch strengere Richtlinien einzuschränken. Eine Amazon-S3-Beispielrichtlinie finden Sie unter [Schreiben von IAM-Richtlinien: So gewähren Sie Zugriff auf einen Amazon-S3-Bucket](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).
## Erstellen benutzerdefinierter IAM-Richtlinien für AWS Glue Studio
Sie können eine benutzerdefinierte Richtlinie mit weniger Berechtigungen für AWS Glue Studio erstellen. Die Richtlinie kann Berechtigungen für eine Teilmenge von Objekten oder Aktionen erteilen. Verwenden Sie die folgenden Informationen, wenn Sie eine benutzerdefinierte Richtlinie erstellen.
Um das verwenden zu können AWS Glue Studio APIs, nehmen Sie `glue:UseGlueStudio` in der Aktionsrichtlinie Ihre IAM-Berechtigungen auf. Die Verwendung von `glue:UseGlueStudio` ermöglicht Ihnen den Zugriff auf alle AWS Glue Studio-Aktionen, auch wenn im Laufe der Zeit weitere Aktionen zur API hinzugefügt werden.
Weitere Informationen zu Aktionen, die von definiert sind AWS Glue, finden Sie unter [Aktionen definiert von AWS Glue](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglue.html).
**Aktionen zur Datenvorbereitung und -erstellung**
+ SendRecipeAction
+ GetRecipeAction
**DAG-Aktionen (Ausgerichtetes azyklisches Diagramm)**
+ CreateDag
+ UpdateDag
+ GetDag
+ DeleteDag
**Auftragsaktionen**
+ SaveJob
+ GetJob
+ CreateJob
+ DeleteJob
+ GetJobs
+ UpdateJob
**Aktionen zur Auftragsausführung**
+ StartJobRun
+ GetJobRuns
+ BatchStopJobRun
+ GetJobRun
+ QueryJobRuns
+ QueryJobs
+ QueryJobRunsAggregated
**Schema-Aktionen**
+ GetSchema
+ GetInferredSchema
**Datenbank-Aktionen**
+ GetDatabases
**Plan-Aktionen**
+ GetPlan
**Tabellen-Aktionen**
+ SearchTables
+ GetTables
+ GetTable
**Verbindungs-Aktionen**
+ CreateConnection
+ DeleteConnection
+ UpdateConnection
+ GetConnections
+ GetConnection
**Zuordnungs-Aktionen**
+ GetMapping
**S3-Proxy-Aktionen**
+ ListBuckets
+ ListObjectsV2
+ GetBucketLocation
**Sicherheitskonfigurations-Aktionen**
+ GetSecurityConfigurations
**Skript-Aktionen**
+ CreateScript (unterscheidet sich von der gleichnamigen API inAWS Glue)
## Zugriff auf AWS Glue Studio APIs
Um auf AWS Glue Studio zuzugreifen, fügen Sie `glue:UseGlueStudio` in der Liste der Aktionsrichtlinien in den IAM-Berechtigungen hinzu.
Im Beispiel unten sind sie in der Aktionsrichtlinie enthalten, aber AWS Glue Studio APIs sie werden nicht einzeln identifiziert. `glue:UseGlueStudio` Das liegt daran`glue:UseGlueStudio`, dass Sie beim Einbeziehen automatisch Zugriff auf die internen Daten erhalten, APIs ohne dass Sie die Person AWS Glue Studio APIs in den IAM-Berechtigungen angeben müssen.
In diesem Beispiel sind die zusätzlich aufgelisteten Aktionsrichtlinien (z. B.`glue:SearchTables`) nicht vorhanden AWS Glue Studio APIs, sodass sie bei Bedarf in die IAM-Berechtigungen aufgenommen werden müssen. Sie können auch Amazon-S3-Proxy-Aktionen einschließen, um die Ebene des zu gewährenden Amazon-S3-Zugriffs festzulegen. Die folgende Beispielrichtlinie ermöglicht den Zugriff auf das Öffnen AWS Glue Studio und save/run Erstellen eines visuellen Auftrags, sofern die ausgewählte IAM-Rolle über ausreichenden Zugriff verfügt.
## Berechtigungen für Notebook und Datenvorschau
Mit Datenvorschauen und Notizbüchern können Sie in jeder Phase Ihres Auftrags (Lesen, Transformieren, Schreiben) ein Beispiel Ihrer Daten anzeigen, ohne den Auftrag ausführen zu müssen. Sie geben eine AWS Identity and Access Management (IAM-) Rolle an, die beim Zugriff auf die Daten verwendet werden AWS Glue Studio soll. IAM-Rollen sollen annehmbar sein und haben keine langfristigen Standard-Anmeldeinformationen wie ein Kennwort oder damit verbundene Zugriffsschlüssel. Wenn AWS Glue Studio die Rolle übernimmt, stellt IAM stattdessen temporäre Sicherheitsanmeldeinformationen bereit.
Um sicherzustellen, dass Datenvorschauen und Notebook-Befehle ordnungsgemäß funktionieren, verwenden Sie eine Rolle mit einem Namen, der mit der Zeichenfolge `AWSGlueServiceRole` beginnt. Wenn Sie einen anderen Namen für Ihre Rolle verwenden möchten, müssen Sie die `iam:passrole`-Berechtigung hinzufügen und eine Richtlinie für die Rolle in IAM konfigurieren. Weitere Informationen finden Sie unter [Erstellen Sie eine IAM-Richtlinie für Rollen, die nicht "AWSGlueServiceRole\$1“ heißen](getting-started-iam-permissions.md#create-iam-policy).
**Warnung**
Wenn eine Rolle die `iam:passrole`-Berechtigung für ein Notebook gewährt und Sie eine Rollenverkettung implementieren, könnte ein Benutzer unbeabsichtigt Zugriff auf das Notebook erlangen. Derzeit ist kein Auditing implementiert, mit dem Sie überwachen können, welchen Benutzern Zugriff auf das Notebook gewährt wurde.
Wenn Sie einer IAM-Identität die Möglichkeit verweigern möchten, Datenvorschau-Sitzungen zu erstellen, lesen Sie das folgende Beispiel [Einer Identität die Möglichkeit verweigern, Datenvorschau-Sitzungen zu erstellen](security_iam_id-based-policy-examples.md#deny-data-preview-sessions-per-identity).
## Amazon CloudWatch Berechtigungen
Sie können Ihre AWS Glue Studio Jobs mithilfe von Metriken überwachen Amazon CloudWatch, die Rohdaten sammeln und AWS Glue zu lesbaren near-real-time Metriken verarbeiten. Standardmäßig werden AWS Glue Metrikdaten CloudWatch automatisch an diese gesendet. Weitere Informationen finden Sie unter [Was ist Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) im * CloudWatch Amazon-Benutzerhandbuch* und [AWS GlueMetrics](https://docs.aws.amazon.com/glue/latest/dg/monitoring-awsglue-with-cloudwatch-metrics.html#awsglue-metrics) im *AWS Glue Entwicklerhandbuch*.
Um auf CloudWatch Dashboards zugreifen zu können, AWS Glue Studio benötigt der zugreifende Benutzer eine der folgenden Voraussetzungen:
+ Die Richtlinie `AdministratorAccess`
+ Die Richtlinie `CloudWatchFullAccess`
+ Eine benutzerdefinierte Richtlinie mit einem oder mehreren dieser spezifischen Berechtigungen:
+ `cloudwatch:GetDashboard` und `cloudwatch:ListDashboards` zum Anzeigen von Dashboards
+ `cloudwatch:PutDashboard` zum Erstellen bzw. Ändern von Dashboards
+ `cloudwatch:DeleteDashboards` zum Löschen von Dashboards
Weitere Informationen zum Ändern von Berechtigungen für einen IAM-Benutzer mithilfe von Richtlinien finden Sie unter [Ändern von Berechtigungen für einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) im *IAM-Benutzerhandbuch*.
# Erforderliche IAM-Berechtigungen für ETL-Aufträge überprüfen
Wenn Sie einen Auftrag mithilfe von AWS Glue Studio erstellen, übernimmt der Auftrag die Berechtigungen der IAM-Rolle, die Sie bei der Erstellung angeben. Diese IAM-Rolle muss über die Berechtigung verfügen, Daten aus Ihrer Datenquelle zu extrahieren, Daten in Ihr Ziel zu schreiben und auf AWS Glue Ressourcen zuzugreifen.
Der Name der Rolle, die Sie für den Auftrag erstellen, muss mit der Zeichenfolge `AWSGlueServiceRole` beginnen, damit sie korrekt von AWS Glue Studio genutzt werden kann. Sie können beispielsweise Ihre Rolle `AWSGlueServiceRole-FlightDataJob` nennen.
## Datenquellen- und Datenzielberechtigungen
Ein AWS Glue Studio-Auftrag muss Zugriff auf Amazon S3 haben – für alle Quellen, Ziele, Skripts und temporären Verzeichnisse, die Sie im Auftrag verwenden. Sie können eine Richtlinie erstellen, die einen differenzierten Zugriff auf bestimmte Amazon-S3-Ressourcen ermöglicht.
+ Datenquellen erfordern die Berechtigungen `s3:ListBucket` und `s3:GetObject`.
+ Für Datenziele sind die Berechtigungen `s3:ListBucket`, `s3:PutObject` und `s3:DeleteObject` erforderlich.
**Anmerkung**
Ihre IAM-Richtlinie muss die spezifischen Buckets berücksichtigen, die `s3:GetObject` für das Hosten von Transformationen verwendet werden. AWS Glue
Die folgenden Buckets gehören dem AWS Dienstkonto und sind weltweit lesbar. Diese Buckets dienen als Repository für den Quellcode einer Teilmenge von Transformationen, auf die über den visuellen Editor zugegriffen werden kann. AWS Glue Studio Die Berechtigungen für den Bucket sind so eingerichtet, dass alle anderen API-Aktionen für den Bucket abgelehnt werden. Jeder kann die Skripte lesen, die wir für die Transformationen bereitstellen, aber niemand außerhalb unseres Serviceteams kann etwas in sie „einfügen“. Wenn Ihr AWS Glue Job ausgeführt wird, wird diese Datei als lokaler Import abgerufen, sodass die Datei in den lokalen Container heruntergeladen wird. Danach findet keine weitere Kommunikation mit diesem Konto statt.
Region: Name des Bucket
+ af-south-1: aws-glue-studio-transforms -762339736633- -1 prod-af-south
+ ap-east-1: aws-glue-studio-transforms -125979764932- -1 prod-ap-east
+ ap-northeast-2: -673535381443- -2 aws-glue-studio-transforms prod-ap-northeast
+ ap-northeast-3: -149976050262- -3 aws-glue-studio-transforms prod-ap-northeast
+ ap-south-1: aws-glue-studio-transforms -584702181950- -1 prod-ap-south
+ ap-south-2: aws-glue-studio-transforms -380279651983- -2 prod-ap-south
+ ap-southeast-1: -737106620487- -1 aws-glue-studio-transforms prod-ap-southeast
+ ap-southeast-2: -234881715811- -2 aws-glue-studio-transforms prod-ap-southeast
+ ap-southeast-3: -151265630221- -3 aws-glue-studio-transforms prod-ap-southeast
+ ap-southeast-4: -052235663858- -4 aws-glue-studio-transforms prod-ap-southeast
+ ca-central-1: aws-glue-studio-transforms -622716468547- -1 prod-ca-central
+ ca-west-1: aws-glue-studio-transforms -915795495192- -1 prod-ca-west
+ eu-central-1: aws-glue-studio-transforms -560373232017- -1 prod-eu-central
+ eu-central-2: aws-glue-studio-transforms -907358657121- -2 prod-eu-central
+ eu-north-1: -312557305497 aws-glue-studio-transforms - -1 prod-eu-north
+ eu-south-1: aws-glue-studio-transforms -939684186351- -1 prod-eu-south
+ eu-south-2: aws-glue-studio-transforms -239737454084- -2 prod-eu-south
+ eu-west-1: aws-glue-studio-transforms -244479516193- -1 prod-eu-west
+ eu-west-2: aws-glue-studio-transforms -804222392271- -2 prod-eu-west
+ eu-west-3: aws-glue-studio-transforms -371299348807- -3 prod-eu-west
+ il-central-1: aws-glue-studio-transforms -806964611811- -1 prod-il-central
+ me-central-1: aws-glue-studio-transforms -733304270342- -1 prod-me-central
+ me-south-1: -112120182341 aws-glue-studio-transforms - -1 prod-me-south
+ sa-east-1: aws-glue-studio-transforms -881619130292- -1 prod-sa-east
+ us-east-1: aws-glue-studio-transforms -510798373988- -1 prod-us-east
+ us-east-2: aws-glue-studio-transforms -251189692203- -2 prod-us-east
+ us-west-1: aws-glue-studio-transforms -593230150239- -1 prod-us-west
+ us-west-2: aws-glue-studio-transforms -818035625594- -2 prod-us-west
+ ap-northeast-1: -200493242866- -1 aws-glue-studio-transforms prod-ap-northeast
+ aws-glue-studio-transformscn-north-1: -071033555442- -1 prod-cn-north
+ cn-northwest-1: aws-glue-studio-transforms -070947029561- -1 prod-cn-northwest
+ us-gov-west-1: aws-glue-studio-transforms -227493901923- -1-2604 prod-us-gov-west
+ eusc-de-east-1: aws-glue-studio-transforms -780995497573- prod-eusc-de-east -1-555
Wenn Sie Amazon Redshift als Datenquelle wählen, können Sie eine Rolle für Clusterberechtigungen angeben. Jobs, die für einen Amazon Redshift Cluster ausgeführt werden, geben Befehle aus, die mithilfe temporärer Anmeldeinformationen auf Amazon S3 für temporären Speicher zugreifen. Wenn Ihr Auftrag länger als eine Stunde ausgeführt wird, laufen diese Anmeldeinformationen ab, wodurch der Auftrag fehlschlägt. Um dieses Problem zu vermeiden, können Sie dem Amazon Redshift -Cluster selbst eine Rolle zuweisen, die ihm die erforderlichen Berechtigungen für Aufträge mit temporären Anmeldeinformationen erteilt. Weitere Informationen finden Sie unter [Verschieben von Daten von und nach Amazon Redshift](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-programming-etl-redshift.html) im *AWS Glue -Entwicklerhandbuch*.
Wenn der Auftrag andere Datenquellen oder Ziele als Amazon S3 verwendet, müssen Sie der IAM-Rolle, die der Auftrag verwendet, die erforderlichen Berechtigungen erteilen, damit sie auf diese Datenquellen und Ziele zuzugreifen kann. Weitere Informationen finden Sie unter [Einrichten der Umgebung, um auf Datenspeicher zuzugreifen](https://docs.aws.amazon.com/glue/latest/dg/start-connecting.html) im *AWS Glue -Entwicklerhandbuch*.
Wenn Sie Konnektoren und Verbindungen für Ihren Datenspeicher verwenden, benötigen Sie zusätzliche Berechtigungen, wie unter [Erforderliche Berechtigungen zur Verwendung von Konnektoren](#getting-started-min-privs-connectors) beschrieben.
## Erforderliche Berechtigungen zum Löschen von Aufträgen
In AWS Glue Studio können Sie mehrere Aufträge zum Löschen in der Konsole auswählen. Um diese Aktion ausführen zu können, müssen Sie über die Berechtigung `glue:BatchDeleteJob` verfügen. Das ist nicht dieselbe wie von der AWS Glue-Konsole, für die die Berechtigung `glue:DeleteJob` zum Löschen von Aufträgen nötig ist.
## AWS Key Management Service Berechtigungen
Wenn Sie planen, auf Amazon S3 S3-Quellen und -Ziele zuzugreifen, die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) verwenden, fügen Sie der vom Job verwendeten AWS Glue Studio Rolle eine Richtlinie hinzu, die es dem Job ermöglicht, die Daten zu entschlüsseln. Die Auftragsrolle benötigt die Berechtigungen `kms:ReEncrypt`, `kms:GenerateDataKey` und `kms:DescribeKey`. Darüber hinaus benötigt die Jobrolle die `kms:Decrypt` Erlaubnis, ein Amazon S3 S3-Objekt hoch- oder herunterzuladen, das mit einem AWS KMS Kundenhauptschlüssel (CMK) verschlüsselt ist.
Für die Nutzung AWS KMS CMKs fallen zusätzliche Gebühren an. Weitere Informationen finden Sie im *AWS Key Management Service Entwicklerhandbuch* unter [AWS Key Management Service Konzepte — Kundenhauptschlüssel (CMKs)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) und [AWS Key Management Service Preise](https://aws.amazon.com/kms/pricing).
## Erforderliche Berechtigungen zur Verwendung von Konnektoren
Wenn Sie einen benutzerdefinierten AWS Glue-Konnektor und eine Verbindung für den Zugriff auf einen Datenspeicher nutzen, benötigt die Rolle, mit der der AWS Glue-ETL-Auftrag ausgeführt wird, zusätzliche Berechtigungen:
+ Die von AWS verwaltete Richtlinie `AmazonEC2ContainerRegistryReadOnly` für den Zugriff auf Connectors, bei denen gekauft wurde AWS Marketplace.
+ Die Berechtigungen `glue:GetJob` und `glue:GetJobs`.
+ AWS Secrets Manager Berechtigungen für den Zugriff auf Geheimnisse, die für Verbindungen verwendet werden. Informationen zu IAM-Richtlinien erhalten Sie unter [Beispiel: Berechtigung zum Abrufen von Secret-Werten](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html#auth-and-access_examples_read).
Wenn Ihr AWS Glue-ETL-Auftrag in einer VPC mit Amazon VPC ausgeführt wird, muss die VPC wie unter [Konfigurieren Sie eine VPC für Ihren ETL-Auftrag](getting-started-vpc-config.md) beschrieben konfiguriert werden.
# Einstellen von IAM-Berechtigungen für AWS Glue Studio
Sie können als AWS -Administrator die Rollen erstellen und Richtlinien an Benutzer und Auftragsrollen zuweisen.
Sie können die **AWSGlueConsoleFullAccess** AWS verwaltete Richtlinie verwenden, um die erforderlichen Berechtigungen für die Verwendung der AWS Glue Studio Konsole bereitzustellen.
Führen Sie zum Erstellen einer eigenen Richtlinie die Schritte unter [Erstellen einer IAM-Richtlinie für den AWS Glue-Service](https://docs.aws.amazon.com/glue/latest/dg/create-service-policy.html) im *AWS Glue -Entwicklerhandbuch* aus. Fügen Sie die zuvor in [Erforderliche IAM-Berechtigungen für den AWS Glue Studio-Benutzer überprüfen](getting-started-min-privs.md) beschriebenen IAM-Berechtigungen ein.
**Topics**
+ [Dem AWS Glue Studio-Benutzer Richtlinien zuweisen](#attach-iam-policy)
+ [Erstellen Sie eine IAM-Richtlinie für Rollen, die nicht "AWSGlueServiceRole\$1“ heißen](#create-iam-policy)
## Dem AWS Glue Studio-Benutzer Richtlinien zuweisen
Jeder AWS Benutzer, der sich an der AWS Glue Studio Konsole anmeldet, muss über Berechtigungen für den Zugriff auf bestimmte Ressourcen verfügen. Sie erteilen diese Berechtigungen, indem Sie dem Benutzer IAM-Richtlinien zuweisen.
**So fügen Sie die **AWSGlueConsoleFullAccess**-verwaltete Richtlinie einem Benutzer hinzu**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben dem **AWSGlueConsoleFullAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern.
1. Klicken Sie auf **Policy actions** und anschließend auf **Attach**.
1. Wählen Sie den Benutzer aus, an den Sie die Richtlinie anfügen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer zum Anfügen der Richtlinie ausgewählt haben, klicken Sie auf **Attach Policy** (Richtlinie anfügen).
1. Wiederholen Sie die vorherigen Schritte, um dem Benutzer nach Bedarf zusätzliche Richtlinien zuzuweisen.
## Erstellen Sie eine IAM-Richtlinie für Rollen, die nicht "AWSGlueServiceRole\$1“ heißen
**Konfigurieren einer IAM-Richtlinie für Rollen, die von AWS Glue Studio verwendet werden**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Fügen Sie eine neue IAM-Richtlinie hinzu. Sie können eine vorhandene Richtlinie hinzufügen oder eine neue eingebundene IAM-Richtlinie erstellen. Erstellen Sie eine IAM-Richtlinie wie folgt:
1. Wählen Sie **Policies** aus und wählen Sie dann **Create Policy** aus. Wenn die Schaltfläche **Get Started** angezeigt wird, klicken Sie darauf und wählen Sie anschließend **Create Policy**.
1. Klicken Sie neben **Create Your Own Policy** auf **Select**.
1. Geben Sie im Feld **Policy Name** einen beliebigen Wert ein, den Sie später bequem verwenden können. Optional können Sie auch im Feld **Description** eine Beschreibung eingeben.
1. Geben Sie im Feld **Policy Document** eine Richtlinienanweisung im folgendem Format ein und wählen Sie **Create Policy** aus:
1. Kopieren Sie die folgenden Blöcke und fügen Sie sie in die Richtlinie unter dem Array „Statement“ ein. *my-interactive-session-role-prefix* Ersetzen Sie sie durch das Präfix für alle gängigen Rollen, für AWS Glue die Berechtigungen zugewiesen werden sollen.
```
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/my-interactive-session-role-prefix*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com "
]
}
}
}
```
Hier ist das vollständige Beispiel mit den Versions- und Anweisungs-Arrays, die in der Richtlinie enthalten sind
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/my-interactive-session-role-prefix*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com "
]
}
}
}
]
}
```
------
1. Wählen Sie **Users** aus, um die Richtlinie für einen Benutzer zu aktivieren.
1. Wählen Sie den -Benutzer aus, an den Sie die Richtlinie anfügen möchten.
# Konfigurieren Sie eine VPC für Ihren ETL-Auftrag
Sie können Amazon Virtual Private Cloud (Amazon VPC) verwenden, um ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich innerhalb der AWS Cloud sogenannten *Virtual Private Cloud (VPC*) zu definieren. Sie können Ihre AWS -Ressourcen, z. B. Instances, in Ihrer VPC launchen. Eine VPC ist einem herkömmlichen Netzwerk in einem eigenen Rechenzentrum sehr ähnlich, bietet jedoch die Vorteile durch die Nutzung der skalierbaren Infrastruktur von AWS. Sie können Ihre VPC konfigurieren. Hierzu können Sie den IP-Adressbereich auswählen, Subnetze erstellen sowie Routing-Tabellen, Netzwerk-Gateways und Sicherheitseinstellungen konfigurieren. Sie können jetzt Instances in der VPC mit dem Internet verbinden. Sie können Ihre VPC mit Ihrem eigenen Unternehmensrechenzentrum verbinden und sie so zu AWS Cloud einer Erweiterung Ihres Rechenzentrums machen. Um die Ressourcen in den einzelnen Subnetzen zu schützen, können Sie mehrere Sicherheitsebenen verwenden, darunter Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten. Weitere Informationen finden Sie im [Amazon-VPC-Benutzerhandbuch](https://docs.aws.amazon.com/vpc/latest/userguide/).
Sie können Ihre AWS Glue-ETL-Aufträge so konfigurieren, dass sie bei Verwendung von Konnektoren innerhalb einer VPC ausgeführt werden. Sie müssen Ihre VPC bei Bedarf für Folgendes konfigurieren:
+ Öffentlicher Netzwerkzugriff für Datenspeicher, die nicht vorhanden sind. AWS Alle Datenspeicher, auf die der Auftrag zugreift, müssen über das VPC-Subnetz verfügbar sein.
+ Wenn Ihr Auftrag sowohl auf VPC-Ressourcen als auch auf das öffentliche Internet zugreifen muss, muss die VPC über ein NAT-Gateway (Network Address Translation) innerhalb der VPC verfügen.
Weitere Informationen finden Sie unter [Einrichten der Umgebung, um auf Datenspeicher zuzugreifen](https://docs.aws.amazon.com/glue/latest/dg/start-connecting.html) im *AWS Glue -Entwicklerhandbuch*.
# Erste Schritte mit Notebooks in AWS Glue Studio
Wenn Sie ein Notebook über AWS Glue Studio starten, werden alle Konfigurationsschritte für Sie ausgeführt, damit Sie Ihre Daten untersuchen und nach wenigen Sekunden mit der Entwicklung Ihres Auftragsskripts beginnen können.
In den folgenden Abschnitten wird beschrieben, wie Sie eine Rolle erstellen und die entsprechenden Berechtigungen gewähren, um Notebooks in AWS Glue Studio für ETL-Aufträge zu verwenden.
Weitere Informationen zu den von AWS Glue definierten Aktionen finden Sie unter [Von AWS Glue definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglue.html).
**Topics**
+ [Erteilen von Berechtigungen für die IAM-Rolle](#studio-notebook-permissions)
## Erteilen von Berechtigungen für die IAM-Rolle
Das Einrichten von AWS Glue Studio ist eine Voraussetzung für die Verwendung von Notebooks.
Um Notebooks in AWS Glue verwenden zu können, erfordert Ihre Rolle Folgendes:
+ Eine Vertrauensstellung zu AWS Glue für die Aktion `sts:AssumeRole` bzw. `sts:TagSession`, falls Markierungen gewünscht sind.
+ Eine IAM-Richtlinie, die alle Berechtigungen für Notebooks, AWS Glue und interaktive Sitzungen enthält.
+ Eine IAM-Richtlinie für eine Rollenübergabe, da die Rolle sich selbst vom Notebook an interaktive Sitzungen weitergeben können muss.
Wenn Sie beispielsweise eine neue Rolle erstellen, können Sie der Rolle eine standardmäßige AWS verwaltete Richtlinie `AWSGlueConsoleFullAccessRole` hinzufügen und dann eine neue Richtlinie für den Notebook-Betrieb und eine weitere für die PassRole IAM-Richtlinie hinzufügen.
### Erforderliche Maßnahmen für eine Vertrauensstellung zu AWS Glue
Wenn Sie eine Notebook-Sitzung starten, müssen Sie `sts:AssumeRole` zur Vertrauensstellung der Rolle hinzufügen, die an das Notebook weitergegeben wird. Wenn Ihre Sitzung Tags enthält, müssen Sie auch die Aktion `sts:TagSession` weitergeben. Ohne diese Aktionen kann die Notebook-Sitzung nicht gestartet werden.
Beispiel:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Richtlinien mit IAM-Berechtigungen für Notebooks
Die folgende Beispielrichtlinie beschreibt die erforderlichen AWS IAM-Berechtigungen für Notebooks. Wenn Sie eine neue Rolle erstellen, erstellen Sie eine Richtlinie, die Folgendes enthält:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:StartNotebook",
"glue:TerminateNotebook",
"glue:GlueNotebookRefreshCredentials",
"glue:DeregisterDataPreview",
"glue:GetNotebookInstanceStatus",
"glue:GlueNotebookAuthorize"
],
"Resource": "*"
}
]
}
```
------
Sie können die folgenden IAM-Richtlinien verwenden, um den Zugriff auf bestimmte Ressourcen zu gewähren:
+ *AwsGlueSessionUserRestrictedNotebookServiceRole*: Bietet vollen Zugriff auf alle AWS Glue Ressourcen mit Ausnahme von Sitzungen. Ermöglicht Benutzern, nur die Notebook-Sitzungen zu erstellen und zu verwenden, die mit dem Benutzer verknüpft sind. Diese Richtlinie umfasst auch andere Berechtigungen, die für AWS Glue die Verwaltung von AWS Glue Ressourcen in anderen AWS Diensten erforderlich sind.
+ *AwsGlueSessionUserRestrictedNotebookPolicy*: Stellt Berechtigungen bereit, die es Benutzern ermöglichen, nur die Notizbuchsitzungen zu erstellen und zu verwenden, die dem Benutzer zugeordnet sind. Diese Richtlinie enthält auch explizite Berechtigungen zur Weitergabe einer eingeschränkten AWS Glue-Sitzungsrolle durch Benutzer.
### IAM-Richtlinie zur Übergabe einer Rolle
Wenn Sie ein Notebook mit einer Rolle erstellen, wird diese Rolle dann an interaktive Sitzungen übergeben, sodass dieselbe Rolle an beiden Stellen verwendet werden kann. Daher muss die `iam:PassRole`-Berechtigung Teil der Richtlinie der Rolle sein.
Erstellen Sie anhand des folgenden Beispiels eine neue Richtlinie für Ihre Rolle. Ersetzen Sie die Kontonummer durch Ihre eigene und den Rollennamen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/"
}
]
}
```
------