Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Langkah 1: Buat kebijakan IAM untuk layanan AWS Glue Untuk setiap operasi yang mengakses data pada AWS sumber daya lain, seperti mengakses objek Anda di Amazon S3AWS Glue, memerlukan izin untuk mengakses sumber daya atas nama Anda. Anda memberikan izin tersebut dengan menggunakan AWS Identity and Access Management (IAM). **catatan** Anda dapat melewati langkah ini jika menggunakan kebijakan AWS terkelola`AWSGlueServiceRole`. Pada langkah ini, Anda membuat sebuah kebijakan yang mirip dengan `AWSGlueServiceRole`. Anda dapat menemukan versi terbaru `AWSGlueServiceRole` pada konsol IAM. **Untuk membuat kebijakan IAM untuk AWS Glue** Kebijakan ini memberikan izin untuk beberapa tindakan Amazon S3 untuk mengelola sumber daya di akun Anda yang diperlukan oleh AWS Glue ketika mengasumsikan peran dengan menggunakan kebijakan ini. Beberapa sumber daya yang ditentukan dalam kebijakan ini merujuk ke nama default yang digunakan oleh AWS Glue bucket Amazon S3, skrip ETL Amazon S3, Log, CloudWatch dan sumber daya Amazon EC2. Sederhananya, AWS Glue menulis beberapa objek Amazon S3 ke dalam bucket di akun Anda yang mempunyai prefiks dengan `aws-glue-*` secara default. 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Di panel navigasi di sebelah kiri, pilih **Kebijakan**. 1. Pilih **Buat Kebijakan**. 1. Pada layar **Buat kebijakan**, navigasikan ke tab untuk mengedit JSON. Buat sebuah dokumen kebijakan dengan pernyataan JSON berikut, dan kemudian pilih **Tinjau kebijakan**. **catatan** Menambahkan izin yang diperlukan untuk sumber daya Amazon S3. Anda mungkin ingin bagian sumber daya atas kebijakan akses Anda hanya mencakup sumber daya yang diperlukan. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:*", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "ec2:DescribeVpcEndpoints", "ec2:DescribeRouteTables", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "cloudwatch:PutMetricData" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::aws-glue-*/*", "arn:aws:s3:::*/*aws-glue-*/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::crawler-public*", "arn:aws:s3:::aws-glue-*" ] }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:AssociateKmsKey" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws-glue/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "aws-glue-service-resource" ] } }, "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:instance/*" ] } ] } ``` ------ Tabel berikut menjelaskan izin yang diberikan oleh kebijakan ini. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/glue/latest/dg/create-service-policy.html) 1. Pada layar **Tinjau Kebijakan**, masukkan **Nama kebijakan**Anda, misalnya **GlueServiceRolePolicy**. Masukkan deskripsi opsional, dan bila Anda puas dengan kebijakan ini, pilih **Buat kebijakan**.