Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Autorisations de personas et de rôles pour les plans AWS Glue
<a name="blueprints-personas-permissions"></a>

Vous trouverez ci-dessous les personas typiques et les politiques d'autorisation suggérées Gestion des identités et des accès AWS (IAM) pour les personas et les rôles pour les blueprints. AWS Glue

**Topics**
+ [Personas du plan](#blueprints-personas)
+ [Autorisations pour les personas du plan](#blueprints-permssions)
+ [Autorisations des rôles de plans](#blueprints-role-permissions)

## Personas du plan
<a name="blueprints-personas"></a>

Voici les personas généralement impliquées dans le cycle de vie des plans AWS Glue.


| Persona | Description | 
| --- | --- | 
| Développeur AWS Glue | Développe, teste et publie des modèles. | 
| administrateur AWS Glue | Inscrit, gère et accorde des autorisations pour les modèles. | 
| Analyste des données | Exécute des modèles pour créer des flux de travail. | 

Pour de plus amples informations, veuillez consulter [Présentation des plans dans AWS Glue](blueprints-overview.md).

## Autorisations pour les personas du plan
<a name="blueprints-permssions"></a>

Voici les autorisations suggérées pour chaque persona du modèle.



### Autorisations de développeur AWS Glue pour les plans
<a name="bp-persona-dev"></a>

Le développeur AWS Glue doit disposer des autorisations d'écriture sur le compartiment Amazon S3 utilisé pour publier le plan. Souvent, le développeur enregistre le modèle après l'avoir téléchargé. Dans ce cas, le développeur a besoin des autorisations répertoriées dans [Autorisations d'administrateur AWS Glue pour les plans](#bp-persona-admin). De plus, si le développeur souhaite tester le modèle après son enregistrement, il a également besoin des autorisations répertoriées dans [Autorisations d'analyste des données pour les plans](#bp-persona-analyst). 

### Autorisations d'administrateur AWS Glue pour les plans
<a name="bp-persona-admin"></a>

La politique suivante accorde des autorisations pour l'enregistrement, l'affichage et la gestion des plans AWS Glue.

**Important**  
Dans la politique suivante, remplacez *<s3-bucket-name>* et *<prefix>* par le chemin Amazon S3 vers les archives ZIP du plan chargées pour vous enregistrer.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:CreateBlueprint",
        "glue:UpdateBlueprint",
        "glue:DeleteBlueprint",
        "glue:GetBlueprint",
        "glue:ListBlueprints",
        "glue:BatchGetBlueprints"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
    }
  ]
}
```

------

### Autorisations d'analyste des données pour les plans
<a name="bp-persona-analyst"></a>

La politique suivante accorde des autorisations pour exécuter les modèles et afficher le flux de travail et ses composants résultants. Elle accorde également à `PassRole` le rôle que AWS Glue endosse pour créer le flux de travail et ses composants.

La politique accorde des autorisations pour n'importe quelle ressource. Si vous souhaitez configurer un accès détaillé à des plans individuels, utilisez le format suivant pour le plan : ARNs

```
arn:aws:glue:<region>:<account-id>:blueprint/<blueprint-name>
```

**Important**  
Dans la politique suivante, remplacez *<account-id>* par un AWS compte valide et remplacez *<role-name>* par le nom du rôle utilisé pour exécuter un plan. Veuillez consulter [Autorisations des rôles de plans](#blueprints-role-permissions) pour connaître les autorisations requises par ce rôle.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:ListBlueprints",
        "glue:GetBlueprint",
        "glue:StartBlueprintRun",
        "glue:GetBlueprintRun",
        "glue:GetBlueprintRuns",
        "glue:GetCrawler",
        "glue:ListTriggers",
        "glue:ListJobs",
        "glue:BatchGetCrawlers",
        "glue:GetTrigger",
        "glue:BatchGetWorkflows",
        "glue:BatchGetTriggers",
        "glue:BatchGetJobs",
        "glue:BatchGetBlueprints",
        "glue:GetWorkflowRun",
        "glue:GetWorkflowRuns",
        "glue:ListCrawlers",
        "glue:ListWorkflows",
        "glue:GetJob",
        "glue:GetWorkflow",
        "glue:StartWorkflowRun"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::111122223333:role/role-name"
    }
  ]
}
```

------

## Autorisations des rôles de plans
<a name="blueprints-role-permissions"></a>

Voici les autorisations suggérées pour le rôle IAM utilisé pour créer un flux de travail à partir d'un modèle. Le rôle doit avoir une relation d'approbation avec `glue.amazonaws.com`.

**Important**  
Dans la politique suivante, remplacez *<account-id>* par un AWS compte valide et remplacez *<role-name>* par le nom du rôle.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:CreateJob",
        "glue:GetCrawler",
        "glue:GetTrigger",
        "glue:DeleteCrawler",
        "glue:CreateTrigger",
        "glue:DeleteTrigger",
        "glue:DeleteJob",
        "glue:CreateWorkflow",
        "glue:DeleteWorkflow",
        "glue:GetJob",
        "glue:GetWorkflow",
        "glue:CreateCrawler"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::111122223333:role/role-name"
    }
  ]
}
```

------

**Note**  
Si les tâches et les crawlers du flux de travail endossent un rôle autre que celui-ci, cette politique doit inclure l'autorisation `iam:PassRole` pour cet autre rôle plutôt que pour le rôle du modèle.