

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Langkah 2: Buat peran IAM untuk AWS Glue
<a name="create-an-iam-role"></a>

Anda harus memberikan izin IAM role yang dapat diambil oleh AWS Glue ketika memanggil layanan lain atas nama Anda. Izin ini termasuk izin akses ke Amazon S3 untuk sumber, target, skrip, dan direktori sementara yang Anda gunakan dengan AWS Glue. Izin diperlukan oleh crawler, tugas, dan titik akhir pengembangan.

Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM). Menambahkan kebijakan ke IAM role yang Anda berikan ke AWS Glue.

****Untuk membuat peran IAM dalam editor pekerjaan****

1. Saat Anda membuat pekerjaan di AWS Glue konsol, cari bagian peran.

1. Pilih **Buat peran baru**.

1. Formulir pembuatan peran inline terbuka, memungkinkan Anda untuk:
   + Tentukan **nama Peran**; misalnya,`AWSGlueServiceRoleDefault`.
   + Kebijakan terkelola `AWSGlueServiceRole` dipilih secara otomatis.
   + Tinjau kebijakan kepercayaan untuk mengambil peran.
   + Tambahkan tag opsional untuk metadata.

1. Pilih **Buat peran**.

1. Peran yang baru dibuat secara otomatis dipilih untuk pekerjaan Anda.

Atau, Anda dapat menggunakan konsol IAM untuk membuat peran:

****Untuk membuat peran IAM untuk AWS Glue menggunakan konsol IAM****

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi sebelah kiri, pilih **Peran**.

1. Pilih **Buat peran**.

1.  Pilih **AWS layanan** sebagai jenis entitas tepercaya. Kemudian, untuk layanan atau kasus penggunaan, temukan dan pilih **AWS Glue**. Pilih **Berikutnya**. 

1. Pada halaman **Tambahkan izin**, pilih kebijakan yang berisi izin yang diperlukan; misalnya, kebijakan terkelola untuk AWS Glue izin umum dan kebijakan AWS terkelola **AmazonS3 `AWSGlueServiceRole` untuk akses FullAccess ke sumber daya Amazon S3**. AWS Lalu pilih **Selanjutnya**.
**catatan**  
Pastikan bahwa salah satu kebijakan dalam peran ini memberikan izin ke sumber Amazon S3 dan target Anda. Anda mungkin ingin memberikan kebijakan Anda sendiri untuk akses ke sumber daya Amazon S3 tertentu. Sumber data memerlukan izin `s3:ListBucket` dan `s3:GetObject`. Target data memerlukan izin `s3:ListBucket`, `s3:PutObject`, dan `s3:DeleteObject`. Untuk informasi selengkapnya tentang membuat kebijakan Amazon S3 untuk sumber daya Anda, lihat [Menentukan Sumber Daya dalam sebuah Kebijakan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html). Untuk contoh kebijakan Amazon S3, lihat [Menulis Kebijakan IAM: Cara Memberikan Akses ke Bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).   
Jika Anda berencana untuk mengakses sumber dan target Amazon S3 yang dienkripsi dengan SSE-KMS, lampirkan sebuah kebijakan yang memungkinkan crawler, tugas, dan titik akhir pengembangan AWS Glue untuk mendekripsi data. Untuk informasi selengkapnya, lihat [Melindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci yang AWS KMS Dikelola (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)).   
Berikut adalah contohnya.  

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "kms:Decrypt"
         ],
         "Resource": [
           "arn:aws:kms:*:111122223333:key/key-id"
         ]
       }
     ]
   }
   ```

1.  Beri nama peran Anda dan tambahkan deskripsi (opsional), lalu tinjau kebijakan kepercayaan dan izin. Untuk **nama Peran**, masukkan nama untuk peran Anda; misalnya,`AWSGlueServiceRoleDefault`. Buat peran dengan nama yang diawali dengan string `AWSGlueServiceRole` untuk memungkinkan peran diteruskan dari pengguna konsol ke layanan. AWS Gluekebijakan yang diberikan mengharapkan peran layanan IAM dimulai`AWSGlueServiceRole`. Jika tidak, Anda harus menambahkan sebuah kebijakan untuk memungkinkan pengguna dengan izin `iam:PassRole` untuk IAM role agar sesuai dengan konvensi penamaan Anda. Pilih **Buat Peran**.
**catatan**  
Saat Anda membuat buku catatan dengan peran, peran tersebut kemudian diteruskan ke sesi interaktif sehingga peran yang sama dapat digunakan di kedua tempat. Dengan demikian, `iam:PassRole` izin harus menjadi bagian dari kebijakan peran.   
Buat kebijakan baru untuk peran Anda menggunakan contoh berikut. Ganti nomor akun dengan nomor Anda sendiri dan nama peran.   

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iam:PassRole",
         "Resource": "arn:aws:iam::090000000210:role/<role_name>"
       }
     ]
   }
   ```

1.  Tambahkan tag ke peran Anda (opsional). Tag adalah pasangan nilai kunci yang dapat Anda tambahkan ke AWS sumber daya untuk membantu mengidentifikasi, mengatur, atau mencari sumber daya. Kemudian, pilih **Buat peran**.