Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengkonfigurasi izin IAM untuk AWS Glue
Anda menggunakan AWS Identity and Access Management (IAM) untuk menentukan kebijakan dan peran yang AWS Glue digunakan untuk mengakses sumber daya. Langkah-langkah berikut mengarahkan Anda melalui berbagai opsi untuk mengatur izin untuk AWS Glue. Bergantung pada kebutuhan bisnis Anda, Anda mungkin harus menambahkan atau mengurangi akses ke sumber daya Anda.
**catatan**
Untuk memulai dengan izin IAM dasar, AWS Glue lihat. [Menyiapkan izin IAM untuk AWS Glue](set-up-iam.md)
1. [Buat kebijakan IAM untuk AWS Glue layanan](create-service-policy.md): Buat kebijakan layanan yang memungkinkan akses ke AWS Glue sumber daya.
1. [Buat peran IAM untukAWS Glue: Buat peran](create-an-iam-role.md) IAM, dan lampirkan kebijakan AWS Glue layanan dan kebijakan untuk sumber daya Amazon Simple Storage Service (Amazon S3) yang digunakan oleh. AWS Glue
1. [Lampirkan kebijakan ke pengguna atau grup yang mengakses AWS Glue](attach-policy-iam-user.md): Lampirkan kebijakan ke pengguna atau grup mana pun yang masuk ke AWS Glue konsol.
1. [Membuat kebijakan IAM untuk buku catatan](create-notebook-policy.md): Buat kebijakan server notebook untuk digunakan dalam pembuatan server notebook pada titik akhir pengembangan.
1. [Buat peran IAM untuk buku catatan](create-an-iam-role-notebook.md): Buat peran IAM dan lampirkan kebijakan server notebook.
1. [Buat kebijakan IAM untuk notebook Amazon SageMaker AI](create-sagemaker-notebook-policy.md): Buat kebijakan IAM untuk digunakan saat membuat notebook Amazon SageMaker AI pada titik akhir pengembangan.
1. [Buat peran IAM untuk notebook Amazon SageMaker AI](create-an-iam-role-sagemaker-notebook.md): Buat peran IAM dan lampirkan kebijakan untuk memberikan izin saat membuat notebook Amazon SageMaker AI di titik akhir pengembangan.
# Langkah 1: Buat kebijakan IAM untuk layanan AWS Glue
Untuk setiap operasi yang mengakses data pada AWS sumber daya lain, seperti mengakses objek Anda di Amazon S3AWS Glue, memerlukan izin untuk mengakses sumber daya atas nama Anda. Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM).
**catatan**
Anda dapat melewati langkah ini jika menggunakan kebijakan AWS terkelola`AWSGlueServiceRole`.
Pada langkah ini, Anda membuat sebuah kebijakan yang mirip dengan `AWSGlueServiceRole`. Anda dapat menemukan versi terbaru `AWSGlueServiceRole` pada konsol IAM.
**Untuk membuat kebijakan IAM untuk AWS Glue**
Kebijakan ini memberikan izin untuk beberapa tindakan Amazon S3 untuk mengelola sumber daya di akun Anda yang diperlukan oleh AWS Glue ketika mengasumsikan peran dengan menggunakan kebijakan ini. Beberapa sumber daya yang ditentukan dalam kebijakan ini merujuk ke nama default yang digunakan oleh AWS Glue bucket Amazon S3, skrip ETL Amazon S3, Log, CloudWatch dan sumber daya Amazon EC2. Sederhananya, AWS Glue menulis beberapa objek Amazon S3 ke dalam bucket di akun Anda yang mempunyai prefiks dengan `aws-glue-*` secara default.
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi di sebelah kiri, pilih **Kebijakan**.
1. Pilih **Buat Kebijakan**.
1. Pada layar **Buat kebijakan**, navigasikan ke tab untuk mengedit JSON. Buat sebuah dokumen kebijakan dengan pernyataan JSON berikut, dan kemudian pilih **Tinjau kebijakan**.
**catatan**
Menambahkan izin yang diperlukan untuk sumber daya Amazon S3. Anda mungkin ingin bagian sumber daya atas kebijakan akses Anda hanya mencakup sumber daya yang diperlukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:*",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRouteTables",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetRolePolicy",
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*/*",
"arn:aws:s3:::*/*aws-glue-*/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::crawler-public*",
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:AssociateKmsKey"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws-glue/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"aws-glue-service-resource"
]
}
},
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:instance/*"
]
}
]
}
```
------
Tabel berikut menjelaskan izin yang diberikan oleh kebijakan ini.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/glue/latest/dg/create-service-policy.html)
1. Pada layar **Tinjau Kebijakan**, masukkan **Nama kebijakan**Anda, misalnya **GlueServiceRolePolicy**. Masukkan deskripsi opsional, dan bila Anda puas dengan kebijakan ini, pilih **Buat kebijakan**.
# Langkah 2: Buat peran IAM untuk AWS Glue
Anda harus memberikan izin IAM role yang dapat diambil oleh AWS Glue ketika memanggil layanan lain atas nama Anda. Izin ini termasuk izin akses ke Amazon S3 untuk sumber, target, skrip, dan direktori sementara yang Anda gunakan dengan AWS Glue. Izin diperlukan oleh crawler, tugas, dan titik akhir pengembangan.
Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM). Menambahkan kebijakan ke IAM role yang Anda berikan ke AWS Glue.
****Untuk membuat peran IAM dalam editor pekerjaan****
1. Saat Anda membuat pekerjaan di AWS Glue konsol, cari bagian peran.
1. Pilih **Buat peran baru**.
1. Formulir pembuatan peran inline terbuka, memungkinkan Anda untuk:
+ Tentukan **nama Peran**; misalnya,`AWSGlueServiceRoleDefault`.
+ Kebijakan terkelola `AWSGlueServiceRole` dipilih secara otomatis.
+ Tinjau kebijakan kepercayaan untuk mengambil peran.
+ Tambahkan tag opsional untuk metadata.
1. Pilih **Buat peran**.
1. Peran yang baru dibuat secara otomatis dipilih untuk pekerjaan Anda.
Atau, Anda dapat menggunakan konsol IAM untuk membuat peran:
****Untuk membuat peran IAM untuk AWS Glue menggunakan konsol IAM****
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi sebelah kiri, pilih **Peran**.
1. Pilih **Buat peran**.
1. Pilih **AWS layanan** sebagai jenis entitas tepercaya. Kemudian, untuk layanan atau kasus penggunaan, temukan dan pilih **AWS Glue**. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih kebijakan yang berisi izin yang diperlukan; misalnya, kebijakan terkelola untuk AWS Glue izin umum dan kebijakan AWS terkelola **AmazonS3 `AWSGlueServiceRole` untuk akses FullAccess ke sumber daya Amazon S3**. AWS Lalu pilih **Selanjutnya**.
**catatan**
Pastikan bahwa salah satu kebijakan dalam peran ini memberikan izin ke sumber Amazon S3 dan target Anda. Anda mungkin ingin memberikan kebijakan Anda sendiri untuk akses ke sumber daya Amazon S3 tertentu. Sumber data memerlukan izin `s3:ListBucket` dan `s3:GetObject`. Target data memerlukan izin `s3:ListBucket`, `s3:PutObject`, dan `s3:DeleteObject`. Untuk informasi selengkapnya tentang membuat kebijakan Amazon S3 untuk sumber daya Anda, lihat [Menentukan Sumber Daya dalam sebuah Kebijakan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html). Untuk contoh kebijakan Amazon S3, lihat [Menulis Kebijakan IAM: Cara Memberikan Akses ke Bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).
Jika Anda berencana untuk mengakses sumber dan target Amazon S3 yang dienkripsi dengan SSE-KMS, lampirkan sebuah kebijakan yang memungkinkan crawler, tugas, dan titik akhir pengembangan AWS Glue untuk mendekripsi data. Untuk informasi selengkapnya, lihat [Melindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci yang AWS KMS Dikelola (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)).
Berikut adalah contohnya.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:111122223333:key/key-id"
]
}
]
}
```
1. Beri nama peran Anda dan tambahkan deskripsi (opsional), lalu tinjau kebijakan kepercayaan dan izin. Untuk **nama Peran**, masukkan nama untuk peran Anda; misalnya,`AWSGlueServiceRoleDefault`. Buat peran dengan nama yang diawali dengan string `AWSGlueServiceRole` untuk memungkinkan peran diteruskan dari pengguna konsol ke layanan. AWS Gluekebijakan yang diberikan mengharapkan peran layanan IAM dimulai`AWSGlueServiceRole`. Jika tidak, Anda harus menambahkan sebuah kebijakan untuk memungkinkan pengguna dengan izin `iam:PassRole` untuk IAM role agar sesuai dengan konvensi penamaan Anda. Pilih **Buat Peran**.
**catatan**
Saat Anda membuat buku catatan dengan peran, peran tersebut kemudian diteruskan ke sesi interaktif sehingga peran yang sama dapat digunakan di kedua tempat. Dengan demikian, `iam:PassRole` izin harus menjadi bagian dari kebijakan peran.
Buat kebijakan baru untuk peran Anda menggunakan contoh berikut. Ganti nomor akun dengan nomor Anda sendiri dan nama peran.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::090000000210:role/"
}
]
}
```
1. Tambahkan tag ke peran Anda (opsional). Tag adalah pasangan nilai kunci yang dapat Anda tambahkan ke AWS sumber daya untuk membantu mengidentifikasi, mengatur, atau mencari sumber daya. Kemudian, pilih **Buat peran**.
# Langkah 3: Lampirkan kebijakan ke pengguna atau grup yang mengakses AWS Glue
Administrator harus menetapkan izin untuk setiap pengguna, grup, atau peran menggunakan AWS Glue konsol atau AWS Command Line Interface ()AWS CLI. Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM), melalui kebijakan. Langkah ini menjelaskan penetapan izin kepada pengguna atau grup.
Ketika Anda menyelesaikan langkah ini, pengguna atau grup Anda memiliki kebijakan berikut yang dilampirkan:
+ Kebijakan AWS terkelola `AWSGlueConsoleFullAccess` atau kebijakan kustom **GlueConsoleAccessPolicy**
+ **`AWSGlueConsoleSageMakerNotebookFullAccess`**
+ **`CloudWatchLogsReadOnlyAccess`**
+ **`AWSCloudFormationReadOnlyAccess`**
+ **`AmazonAthenaFullAccess`**
**Untuk melampirkan kebijakan inline dan menyematkannya di pengguna atau grup**
Anda dapat melampirkan kebijakan AWS terkelola atau kebijakan sebaris ke pengguna atau grup untuk mengakses AWS Glue konsol. Beberapa sumber daya yang ditentukan dalam kebijakan ini merujuk ke nama default yang digunakan oleh AWS Glue bucket Amazon S3, skrip ETL Amazon S3, Log CloudWatch , dan sumber daya Amazon EC2. CloudFormation Sederhananya, AWS Glue menulis beberapa objek Amazon S3 ke dalam bucket di akun Anda yang mempunyai prefiks dengan `aws-glue-*` secara default.
**catatan**
Anda dapat melewati langkah ini jika menggunakan kebijakan AWS terkelola **`AWSGlueConsoleFullAccess`**.
**penting**
AWS Glue memerlukan izin untuk mengambil peran yang digunakan untuk melakukan tugas atas nama Anda. **Untuk mencapai hal ini, Anda menambahkan `iam:PassRole` izin ke AWS Glue pengguna atau grup Anda.** Kebijakan ini memberikan izin untuk peran yang dimulai dengan `AWSGlueServiceRole` untuk peran layanan AWS Glue, dan `AWSGlueServiceNotebookRole` untuk peran yang diperlukan saat Anda membuat server notebook. Anda juga dapat membuat kebijakan Anda sendiri untuk izin `iam:PassRole` yang mengikuti konvensi penamaan Anda.
Sesuai praktik terbaik keamanan, disarankan untuk membatasi akses dengan memperketat kebijakan untuk lebih membatasi akses ke bucket dan grup log Amazon S3. Amazon CloudWatch Untuk contoh kebijakan Amazon S3, lihat [Menulis Kebijakan IAM: Cara Memberikan Akses ke Bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).
Pada langkah ini, Anda membuat sebuah kebijakan yang mirip dengan `AWSGlueConsoleFullAccess`. Anda dapat menemukan versi terbaru `AWSGlueConsoleFullAccess` pada konsol IAM.
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna** atau **Grup pengguna**.
1. Dalam daftar, pilih nama pengguna atau grup untuk menyematkan kebijakan.
1. Pilih tab **Izin** dan, jika diperlukan, perluas bagian **Kebijakan izin**.
1. Pilih tautan **Tambahkan kebijakan inline**.
1. Pada layar **Buat kebijakan**, navigasikan ke tab untuk mengedit JSON. Buat sebuah dokumen kebijakan dengan pernyataan JSON berikut, dan kemudian pilih **Tinjau kebijakan**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:*",
"redshift:DescribeClusters",
"redshift:DescribeClusterSubnetGroups",
"iam:ListRoles",
"iam:ListUsers",
"iam:ListGroups",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListAttachedRolePolicies",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcAttribute",
"ec2:DescribeKeyPairs",
"ec2:DescribeInstances",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters",
"rds:DescribeDBSubnetGroups",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"cloudformation:DescribeStacks",
"cloudformation:GetTemplateSummary",
"dynamodb:ListTables",
"kms:ListAliases",
"kms:DescribeKey",
"cloudwatch:GetMetricData",
"cloudwatch:ListDashboards"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*/*aws-glue-*/*",
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:/aws-glue/*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack"
],
"Resource": "arn:aws:cloudformation:*:*:stack/aws-glue*/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:image/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com"
]
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSGlueServiceNotebookRole*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"ec2.amazonaws.com"
]
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/service-role/AWSGlueServiceRole*"
],
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com"
]
}
}
}
]
}
```
------
Tabel berikut menjelaskan izin yang diberikan oleh kebijakan ini.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/glue/latest/dg/attach-policy-iam-user.html)
1. Pada layar **Kebijakan tinjauan**, masukkan nama untuk kebijakan tersebut, misalnya **GlueConsoleAccessPolicy**. Jika Anda puas dengan kebijakan ini, pilih **Buat kebijakan**. Pastikan bahwa tidak ada kesalahan yang muncul di kotak merah yang ada di bagian atas layar. Perbaiki apapun yang dilaporkan.
**catatan**
Jika **Gunakan pemformatan otomatis** dipilih, maka kebijakan akan diformat ulang setiap kali Anda membuka kebijakan atau memilih **Validasi kebijakan**.
**Untuk melampirkan kebijakan AWSGlue ConsoleFullAccess terkelola**
Anda dapat melampirkan `AWSGlueConsoleFullAccess` kebijakan untuk memberikan izin yang diperlukan oleh pengguna AWS Glue konsol.
**catatan**
Anda dapat melewati langkah ini jika Anda sudah membuat kebijakan Anda sendiri untuk akses konsol AWS Glue.
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Dalam daftar kebijakan, pilih kotak centang di sebelah **AWSGlueConsoleFullAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan.
1. Pilih **Tindakan kebijakan**, lalu pilih **Lampirkan**.
1. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih **Lampirkan kebijakan**.
**Untuk melampirkan kebijakan `AWSGlueConsoleSageMakerNotebookFullAccess` terkelola**
Anda dapat melampirkan `AWSGlueConsoleSageMakerNotebookFullAccess` kebijakan ke pengguna untuk mengelola notebook SageMaker AI yang dibuat di AWS Glue konsol. Selain izin AWS Glue konsol lain yang diperlukan, kebijakan ini memberikan akses ke sumber daya yang diperlukan untuk mengelola notebook SageMaker AI.
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Dalam daftar kebijakan, pilih kotak centang di sebelah **AWSGlueConsoleSageMakerNotebookFullAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan.
1. Pilih **Tindakan kebijakan**, lalu pilih **Lampirkan**.
1. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih **Lampirkan kebijakan**.
**Untuk melampirkan kebijakan CloudWatchLogsReadOnlyAccess terkelola**
Anda dapat melampirkan **CloudWatchLogsReadOnlyAccess**kebijakan ke pengguna untuk melihat log yang dibuat oleh AWS Glue pada konsol CloudWatch Log.
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Dalam daftar kebijakan, pilih kotak centang di sebelah **CloudWatchLogsReadOnlyAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan.
1. Pilih **Tindakan kebijakan**, lalu pilih **Lampirkan**.
1. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih **Lampirkan kebijakan**.
**Untuk melampirkan kebijakan AWSCloud FormationReadOnlyAccess terkelola**
Anda dapat melampirkan **AWSCloudFormationReadOnlyAccess**kebijakan ke pengguna untuk melihat CloudFormation tumpukan yang digunakan AWS Glue di CloudFormation konsol.
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Dalam daftar kebijakan, pilih kotak centang di sebelah **AWSCloudFormationReadOnlyAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan.
1. Pilih **Tindakan kebijakan**, lalu pilih **Lampirkan**.
1. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih **Lampirkan kebijakan**.
**Untuk melampirkan kebijakan AmazonAthenaFullAccess terkelola**
Anda dapat melampirkan **AmazonAthenaFullAccess**kebijakan ke pengguna untuk melihat data Amazon S3 di konsol Athena.
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Dalam daftar kebijakan, pilih kotak centang di sebelah **AmazonAthenaFullAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan.
1. Pilih **Tindakan kebijakan**, lalu pilih **Lampirkan**.
1. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih **Lampirkan kebijakan**.
# Langkah 4: Buat kebijakan IAM untuk server notebook
Jika Anda berencana untuk menggunakan notebook dengan titik akhir pengembangan, maka Anda harus menentukan izin ketika Anda membuat notebook server. Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM).
Kebijakan ini memberikan izin untuk beberapa tindakan Amazon S3 untuk mengelola sumber daya di akun Anda yang diperlukan oleh AWS Glue ketika mengasumsikan peran dengan menggunakan kebijakan ini. Beberapa sumber daya yang ditentukan dalam kebijakan ini merujuk ke nama default yang digunakan oleh AWS Glue untuk bucket Amazon S3, skrip ETL Amazon S3, dan sumber daya Amazon EC2. Sederhananya, AWS Glue secara default menulis beberapa objek Amazon S3 ke dalam bucket di akun Anda yang mempunyai prefiks dengan `aws-glue-*`.
**catatan**
Anda dapat melewati langkah ini jika menggunakan kebijakan AWS terkelola **`AWSGlueServiceNotebookRole`**.
Pada langkah ini, Anda membuat sebuah kebijakan yang mirip dengan `AWSGlueServiceNotebookRole`. Anda dapat menemukan versi terbaru `AWSGlueServiceNotebookRole` pada konsol IAM.
**Untuk membuat sebuah kebijakan IAM untuk notebook**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi di sebelah kiri, pilih **Kebijakan**.
1. Pilih **Buat Kebijakan**.
1. Pada layar **Buat kebijakan**, navigasikan ke tab untuk mengedit JSON. Buat sebuah dokumen kebijakan dengan pernyataan JSON berikut, dan kemudian pilih **Tinjau kebijakan**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeleteDatabase",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTableVersions",
"glue:GetTables",
"glue:UpdateDatabase",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetJobBookmark",
"glue:ResetJobBookmark",
"glue:CreateConnection",
"glue:CreateJob",
"glue:DeleteConnection",
"glue:DeleteJob",
"glue:GetConnection",
"glue:GetConnections",
"glue:GetDevEndpoint",
"glue:GetDevEndpoints",
"glue:GetJob",
"glue:GetJobs",
"glue:UpdateJob",
"glue:BatchDeleteConnection",
"glue:UpdateConnection",
"glue:GetUserDefinedFunction",
"glue:UpdateUserDefinedFunction",
"glue:GetUserDefinedFunctions",
"glue:DeleteUserDefinedFunction",
"glue:CreateUserDefinedFunction",
"glue:BatchGetPartition",
"glue:BatchDeletePartition",
"glue:BatchCreatePartition",
"glue:BatchDeleteTable",
"glue:UpdateDevEndpoint",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::crawler-public*",
"arn:aws:s3:::aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"aws-glue-service-resource"
]
}
},
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:instance/*"
]
}
]
}
```
------
Tabel berikut menjelaskan izin yang diberikan oleh kebijakan ini.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/glue/latest/dg/create-notebook-policy.html)
1. Pada layar **Tinjau Kebijakan**, masukkan **Nama kebijakan**Anda, misalnya **GlueServiceNotebookPolicyDefault**. Masukkan deskripsi opsional, dan bila Anda puas dengan kebijakan ini, pilih **Buat kebijakan**.
# Langkah 5: Buat peran IAM untuk server notebook
Jika Anda berencana untuk menggunakan notebook dengan titik akhir pengembangan, Anda perlu memberikan izin IAM role. Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management IAM, melalui peran IAM.
**catatan**
Saat Anda menciptakan sebuah IAM role menggunakan konsol IAM, konsol akan menciptakan profil instans secara otomatis dan memberikan nama yang sama sesuai dengan perannya.
**Untuk membuat IAM role untuk notebook**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi sebelah kiri, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk jenis peran, pilih **Layanan AWS **, temukan dan pilih **EC2**, dan pilih kasus penggunaan **EC2**, lalu pilih **Berikutnya: Izin**.
1. Pada halaman **Kebijakan izin melampirkan, pilih kebijakan** yang berisi izin yang diperlukan; misalnya, untuk AWS Glue izin umum dan kebijakan AWS terkelola **AmazonS3 **AWSGlueServiceNotebookRole**untuk akses FullAccess ke sumber daya Amazon S3**. Lalu pilih **Selanjutnya: Tinjauan**.
**catatan**
Pastikan bahwa salah satu kebijakan dalam peran ini memberikan izin ke sumber Amazon S3 dan target Anda. Selain itu, konfirmasi bahwa kebijakan Anda memungkinkan akses penuh ke lokasi di mana Anda menyimpan notebook Anda ketika Anda membuat sebuah server notebook. Anda mungkin ingin memberikan kebijakan Anda sendiri untuk akses ke sumber daya Amazon S3 tertentu. Untuk informasi selengkapnya tentang membuat kebijakan Amazon S3 untuk sumber daya Anda, lihat [Menentukan Sumber Daya dalam sebuah Kebijakan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html).
Jika Anda berencana untuk mengakses sumber dan target Amazon S3 yang dienkripsi dengan SSE-KMS, lampirkan sebuah kebijakan yang memungkinkan notebook untuk mendekripsi data. Untuk informasi selengkapnya, lihat [Melindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci yang AWS KMS Dikelola (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)).
Berikut adalah contohnya.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:111122223333:key/key-id"
]
}
]
}
```
1. Untuk **Nama peran**, masukkan nama peran Anda. Buat peran dengan nama yang diawali dengan string `AWSGlueServiceNotebookRole` untuk memungkinkan peran diteruskan dari pengguna konsol ke server notebook. AWS Gluekebijakan yang diberikan mengharapkan peran layanan IAM dimulai`AWSGlueServiceNotebookRole`. Jika tidak, Anda harus menambahkan sebuah kebijakan untuk memungkinkan pengguna dengan izin `iam:PassRole` untuk IAM role agar sesuai dengan konvensi penamaan Anda. Misalnya, masukkan `AWSGlueServiceNotebookRoleDefault`. Lalu pilih **Buat peran**.
# Langkah 6: Buat kebijakan IAM untuk notebook SageMaker AI
Jika Anda berencana untuk menggunakan notebook SageMaker AI dengan titik akhir pengembangan, Anda harus menentukan izin saat membuat buku catatan. Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM).
**Untuk membuat kebijakan IAM untuk notebook SageMaker AI**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi di sebelah kiri, pilih **Kebijakan**.
1. Pilih **Buat Kebijakan**.
1. Pada halaman **Buat kebijakan**, navigasikan ke tab untuk mengedit JSON. Buat sebuah dokumen kebijakan dengan pernyataan JSON berikut. Edit *bucket-name**region-code*,, dan *account-id* untuk lingkungan Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket*"
]
},
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/*",
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"
]
},
{
"Action": [
"glue:UpdateDevEndpoint",
"glue:GetDevEndpoint",
"glue:GetDevEndpoints"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:us-east-1:111122223333:devEndpoint/*"
]
},
{
"Action": [
"sagemaker:ListTags"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/*"
]
}
]
}
```
------
Lalu pilih **Peninjauan kebijakan**.
Tabel berikut menjelaskan izin yang diberikan oleh kebijakan ini.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/glue/latest/dg/create-sagemaker-notebook-policy.html)
1. Pada layar **Tinjau Kebijakan**, masukkan **Nama kebijakan**Anda, misalnya `AWSGlueSageMakerNotebook`. Masukkan deskripsi opsional, dan bila Anda puas dengan kebijakan ini, pilih **Buat kebijakan**.
# Langkah 7: Buat peran IAM untuk notebook SageMaker AI
Jika Anda berencana untuk menggunakan notebook SageMaker AI dengan titik akhir pengembangan, Anda harus memberikan izin peran IAM. Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM), melalui peran IAM.
**Untuk membuat peran IAM untuk notebook SageMaker AI**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi sebelah kiri, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk tipe peran, pilih **AWS Layanan**, temukan dan pilih **SageMaker**, lalu pilih **SageMaker - Kasus penggunaan eksekusi**. Kemudian, pilih **Selanjutnya: Izin**.
1. Pada halaman **Kebijakan izin melampirkan**, pilih kebijakan yang berisi izin yang diperlukan; misalnya,. **AmazonSageMakerFullAccess** Pilih **Selanjutnya: Tinjauan**.
Jika Anda berencana untuk mengakses sumber dan target Amazon S3 yang dienkripsi dengan SSE-KMS, lampirkan sebuah kebijakan yang memungkinkan notebook untuk mendekripsi data, seperti yang ditunjukkan dalam contoh berikut. Untuk informasi selengkapnya, lihat [Melindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci yang AWS KMS Dikelola (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:111122223333:key/key-id"
]
}
]
}
```
------
1. Untuk **Nama peran**, masukkan nama peran Anda. Untuk memungkinkan peran diteruskan dari pengguna konsol ke SageMaker AI, gunakan nama yang diawali dengan string`AWSGlueServiceSageMakerNotebookRole`. AWS Glueasalkan kebijakan mengharapkan peran IAM dimulai`AWSGlueServiceSageMakerNotebookRole`. Jika tidak, Anda harus menambahkan sebuah kebijakan untuk memungkinkan pengguna dengan izin `iam:PassRole` untuk IAM role agar sesuai dengan konvensi penamaan Anda.
Misalnya, masukkan`AWSGlueServiceSageMakerNotebookRole-Default`, lalu pilih **Buat peran**.
1. Setelah Anda membuat peran, lampirkan kebijakan yang memungkinkan izin tambahan yang diperlukan untuk membuat notebook SageMaker AI. AWS Glue
Buka peran yang baru saja Anda buat`AWSGlueServiceSageMakerNotebookRole-Default`, dan pilih **Lampirkan kebijakan**. Lampirkan kebijakan yang Anda buat namanya `AWSGlueSageMakerNotebook` ke peran.