Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Étape 3 : attacher une politique aux utilisateurs ou aux groupes accédant à AWS Glue L'administrateur doit attribuer des autorisations à tous les utilisateurs, groupes ou rôles à l'aide de la AWS Glue console ou AWS Command Line Interface (AWS CLI). Vous fournissez ces autorisations grâce à Gestion des identités et des accès AWS (IAM) par le biais des politiques. Cette étape décrit l’attribution d’autorisations à des utilisateurs ou groupes. Une fois cette étape terminée, les politiques suivantes seront associées à votre utilisateur ou groupe : + La politique AWS gérée `AWSGlueConsoleFullAccess` ou la politique personnalisée **GlueConsoleAccessPolicy** + **`AWSGlueConsoleSageMakerNotebookFullAccess`** + **`CloudWatchLogsReadOnlyAccess`** + **`AWSCloudFormationReadOnlyAccess`** + **`AmazonAthenaFullAccess`** **Associer une politique en ligne et l’intégrer à un utilisateur ou à un groupe** Vous pouvez associer une politique AWS gérée ou une politique intégrée à un utilisateur ou à un groupe pour accéder à la AWS Glue console. Certaines des ressources spécifiées dans cette politique font référence aux noms par défaut utilisés AWS Glue pour les compartiments Amazon S3, les scripts ETL Amazon S3 CloudFormation, CloudWatch les journaux et les ressources Amazon EC2. Pour plus de simplicité, AWS Glue écrit certains objets Amazon S3 dans des compartiments de votre compte portant le préfixe `aws-glue-*` par défaut. **Note** Vous pouvez ignorer cette étape si vous utilisez la politique AWS gérée **`AWSGlueConsoleFullAccess`**. **Important** AWS Glue a besoin d’une autorisation pour endosser un rôle utilisé pour effectuer des tâches en votre nom. **Pour cela, vous ajoutez les autorisations `iam:PassRole` à vos utilisateurs ou groupes AWS Glue.** Cette politique accorde l’autorisation aux rôles commençant par `AWSGlueServiceRole` pour les rôles de service AWS Glue et `AWSGlueServiceNotebookRole` pour les rôles qui sont requis lorsque vous créez un serveur de bloc-notes. Vous pouvez également créer votre propre politique pour les autorisations `iam:PassRole`, conforme à votre convention de dénomination. Conformément aux meilleures pratiques de sécurité, il est recommandé de restreindre l'accès en renforçant les politiques afin de restreindre davantage l'accès aux compartiments et aux groupes de Amazon CloudWatch journaux Amazon S3. Pour obtenir un exemple de politique Amazon S3, consultez notre billet de blog [Writing IAM Policies: How to Grant Access to an Amazon S3 Bucket](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/). Au cours de cette étape, vous créez une politique similaire à `AWSGlueConsoleFullAccess`. Vous pouvez consulter la version la plus récente de `AWSGlueConsoleFullAccess` sur la console IAM. 1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. 1. Dans le volet de navigation, choisissez **Utilisateurs** ou **Groupes d’utilisateurs**. 1. Dans la liste, sélectionnez le nom de l’utilisateur ou du groupe auquel intégrer une politique. 1. Sélectionnez l’onglet **Autorisations** et, si nécessaire, développez la section **Politiques d’autorisations**. 1. Cliquez sur le lien **Add Inline policy** (Ajouter une politique en ligne). 1. Sur l’écran **Créer une politique**, accédez à un onglet pour modifier le fichier JSON. Créez un document de politique avec les instructions JSON suivantes, puis sélectionnez **Examiner une politique**. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:*", "redshift:DescribeClusters", "redshift:DescribeClusterSubnetGroups", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:DescribeVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeInstances", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBSubnetGroups", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "dynamodb:ListTables", "kms:ListAliases", "kms:DescribeKey", "cloudwatch:GetMetricData", "cloudwatch:ListDashboards" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*/*aws-glue-*/*", "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:/aws-glue/*" ] }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/aws-glue*/*" }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:image/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceNotebookRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "ec2.amazonaws.com" ] } } }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/service-role/AWSGlueServiceRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] } ``` ------ Le tableau suivant décrit les autorisations accordées par cette politique. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/glue/latest/dg/attach-policy-iam-user.html) 1. Sur l'écran **Réviser la politique**, entrez le nom de la politique, par exemple **GlueConsoleAccessPolicy**. Lorsque vous êtes satisfait de la politique, sélectionnez **Create policy (Créer une politique)**. Assurez-vous qu’aucune erreur ne s’affiche dans un cadre rouge en haut de l’écran. Corrigez les erreurs signalées. **Note** Si l’option **Use autoformatting** est sélectionnée, la politique est reformatée chaque fois que vous ouvrez une politique ou sélectionnez **Validate Policy**. **Pour joindre la politique AWSGlue ConsoleFullAccess gérée** Vous pouvez attacher la politique `AWSGlueConsoleFullAccess` afin d’accorder les autorisations requises par l’utilisateur de la console AWS Glue. **Note** Vous pouvez ignorer cette étape si vous avez créé votre propre politique pour l’accès à la console AWS Glue. 1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. 1. Dans le panneau de navigation, choisissez **Politiques**. 1. Dans la liste des politiques, cochez la case à côté de **AWSGlueConsoleFullAccess**. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste de politiques. 1. Sélectionnez **Policy Actions** (Actions de politique), puis sélectionnez **Attach** (Attacher). 1. Sélectionnez l'utilisateur auquel attacher la politique. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur auquel attacher la politique, sélectionnez **Attacher la politique**. **Pour attacher la politique gérée par `AWSGlueConsoleSageMakerNotebookFullAccess`** Vous pouvez associer la `AWSGlueConsoleSageMakerNotebookFullAccess` politique à un utilisateur pour gérer les blocs-notes SageMaker IA créés sur la AWS Glue console. Outre les autres autorisations de AWS Glue console requises, cette politique accorde l'accès aux ressources nécessaires à la gestion des blocs-notes SageMaker AI. 1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. 1. Dans le panneau de navigation, choisissez **Politiques**. 1. Dans la liste des politiques, cochez la case à côté de **AWSGlueConsoleSageMakerNotebookFullAccess**. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste de politiques. 1. Sélectionnez **Policy Actions** (Actions de politique), puis sélectionnez **Attach** (Attacher). 1. Sélectionnez l'utilisateur auquel attacher la politique. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur auquel attacher la politique, sélectionnez **Attach policy** (Attacher la politique). **Pour joindre la politique CloudWatchLogsReadOnlyAccess gérée** Vous pouvez associer la **CloudWatchLogsReadOnlyAccess**politique à un utilisateur pour consulter les journaux créés par AWS Glue la console CloudWatch Logs. 1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. 1. Dans le panneau de navigation, choisissez **Politiques**. 1. Dans la liste des politiques, cochez la case à côté de **CloudWatchLogsReadOnlyAccess**. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste de politiques. 1. Sélectionnez **Policy Actions** (Actions de politique), puis sélectionnez **Attach** (Attacher). 1. Sélectionnez l'utilisateur auquel attacher la politique. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur auquel attacher la politique, sélectionnez **Attach policy** (Attacher la politique). **Pour joindre la politique AWSCloud FormationReadOnlyAccess gérée** Vous pouvez associer la **AWSCloudFormationReadOnlyAccess**politique à un utilisateur pour afficher les CloudFormation piles utilisées par celui-ci AWS Glue sur la CloudFormation console. 1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. 1. Dans le panneau de navigation, choisissez **Politiques**. 1. Dans la liste des politiques, cochez la case à côté de **AWSCloudFormationReadOnlyAccess**. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste de politiques. 1. Sélectionnez **Policy Actions** (Actions de politique), puis sélectionnez **Attach** (Attacher). 1. Sélectionnez l'utilisateur auquel attacher la politique. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur auquel attacher la politique, sélectionnez **Attach policy** (Attacher la politique). **Pour joindre la politique AmazonAthenaFullAccess gérée** Vous pouvez associer la **AmazonAthenaFullAccess**politique à un utilisateur pour qu'il puisse consulter les données Amazon S3 dans la console Athena. 1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. 1. Dans le panneau de navigation, choisissez **Politiques**. 1. Dans la liste des politiques, cochez la case à côté de **AmazonAthenaFullAccess**. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste de politiques. 1. Sélectionnez **Policy Actions** (Actions de politique), puis sélectionnez **Attach** (Attacher). 1. Sélectionnez l'utilisateur auquel attacher la politique. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur auquel attacher la politique, sélectionnez **Attach policy** (Attacher la politique).