View a markdown version of this page

Conditions préalables - AWS Glue
Autorisations IAM requisesExemple de politique IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions préalables

Avant de créer un catalogue fédéré pour les tables S3 dans le catalogue de AWS Glue données, assurez-vous que votre principal IAM (utilisateur ou rôle) dispose des autorisations requises.

Autorisations IAM requises

Votre principal IAM a besoin des autorisations suivantes pour activer l'intégration des tables S3 :

AWS Glue autorisations :

  • glue:CreateCatalog— Nécessaire pour créer le s3tablescatalog catalogue fédéré

  • glue:GetCatalog— Nécessaire pour consulter les détails du catalogue

  • glue:GetDatabase— Nécessaire pour afficher les espaces de noms S3 sous forme de bases de données

  • glue:GetTable— Nécessaire pour afficher les tables S3

  • glue:passConnection— Accorde au principal appelant le droit de déléguer la aws:s3tables connexion au AWS Glue service

Autorisations S3 Tables (pour le contrôle d'accès IAM) :

  • s3tables:CreateTableBucket

  • s3tables:GetTableBucket

  • s3tables:CreateNamespace

  • s3tables:GetNamespace

  • s3tables:ListNamespaces

  • s3tables:CreateTable

  • s3tables:GetTable

  • s3tables:ListTables

  • s3tables:UpdateTableMetadataLocation

  • s3tables:GetTableMetadataLocation

  • s3tables:GetTableData

  • s3tables:PutTableData

Exemple de politique IAM

La politique IAM suivante fournit les autorisations minimales requises pour permettre l'intégration des tables S3 au catalogue de données en mode IAM :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GlueDataCatalogPermissions",
      "Effect": "Allow",
      "Action": [
        "glue:CreateCatalog",
        "glue:GetCatalog",
        "glue:GetDatabase",
        "glue:GetTable"
      ],
      "Resource": [
        "arn:aws:glue:region:account-id:catalog/s3tablescatalog",
        "arn:aws:glue:region:account-id:database/s3tablescatalog/*/*",
        "arn:aws:glue:region:account-id:table/s3tablescatalog/*/*/*"
      ]
    },
    {
      "Sid": "S3TablesDataAccessPermissions",
      "Effect": "Allow",
      "Action": [
        "s3tables:GetTableBucket",
        "s3tables:GetNamespace",
        "s3tables:GetTable",
        "s3tables:GetTableMetadataLocation",
        "s3tables:GetTableData"
      ],
      "Resource": [
        "arn:aws:s3tables:region:account-id:bucket/*",
        "arn:aws:s3tables:region:account-id:bucket/*/table/*"
      ]
    }
  ]
}