Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tinjau izin IAM yang diperlukan untuk pekerjaan ETL
Saat Anda membuat pekerjaan menggunakanAWS Glue Studio, pekerjaan mengasumsikan izin peran IAM yang Anda tentukan saat Anda membuatnya. Peran IAM ini harus memiliki izin untuk mengekstrak data dari sumber data Anda, menulis data ke target Anda, dan mengakses AWS Glue sumber daya.
Nama peran yang Anda buat untuk pekerjaan harus dimulai dengan string `AWSGlueServiceRole` agar dapat digunakan dengan benarAWS Glue Studio. Misalnya, Anda dapat memberi nama peran dengan `AWSGlueServiceRole-FlightDataJob`.
## Izin sumber data dan target data
AWS Glue StudioPekerjaan harus memiliki akses ke Amazon S3 untuk sumber, target, skrip, dan direktori sementara apa pun yang Anda gunakan dalam pekerjaan Anda. Anda dapat membuat sebuah kebijakan untuk memberikan akses terperinci ke sumber daya Amazon S3 tertentu.
+ Sumber data memerlukan izin `s3:ListBucket` dan `s3:GetObject`.
+ Target data memerlukan izin `s3:ListBucket`, `s3:PutObject`, dan `s3:DeleteObject`.
**catatan**
Kebijakan IAM Anda perlu mengizinkan `s3:GetObject` bucket khusus yang digunakan untuk transformasi hosting AWS Glue .
Bucket berikut dimiliki oleh akun AWS layanan dan dapat dibaca di seluruh dunia. Bucket ini berfungsi sebagai repositori untuk kode sumber yang berkaitan dengan subset transformasi yang dapat diakses melalui editor visual. AWS Glue Studio Izin pada bucket disiapkan untuk menolak tindakan API lainnya di bucket. Siapa pun dapat membaca skrip yang kami sediakan untuk transformasi, tetapi tidak ada orang di luar tim layanan kami yang dapat “memasukkan” apa pun di dalamnya. Saat AWS Glue pekerjaan Anda berjalan, file tersebut ditarik sebagai impor lokal sehingga file diunduh ke wadah lokal. Setelah itu, tidak ada komunikasi lebih lanjut dengan akun itu.
Wilayah: Nama ember
+ af-south-1: -762339736633- -1 aws-glue-studio-transforms prod-af-south
+ ap-east-1: -125979764932 aws-glue-studio-transforms - -1 prod-ap-east
+ ap-northeast-2: -673535381443- -2 aws-glue-studio-transforms prod-ap-northeast
+ ap-northeast-3: -149976050262- -3 aws-glue-studio-transforms prod-ap-northeast
+ aws-glue-studio-transformsap-south-1: -584702181950- -1 prod-ap-south
+ aws-glue-studio-transformsap-south-2: -380279651983- -2 prod-ap-south
+ ap-southeast-1: -737106620487- -1 aws-glue-studio-transforms prod-ap-southeast
+ ap-southeast-2: -234881715811- -2 aws-glue-studio-transforms prod-ap-southeast
+ ap-southeast-3: -151265630221- -3 aws-glue-studio-transforms prod-ap-southeast
+ ap-southeast-4: -052235663858- -4 aws-glue-studio-transforms prod-ap-southeast
+ ca-central-1: -622716468547- -1 aws-glue-studio-transforms prod-ca-central
+ ca-west-1: -915795495192- aws-glue-studio-transforms -1 prod-ca-west
+ eu-central-1: -560373232017- -1 aws-glue-studio-transforms prod-eu-central
+ eu-central-2: -907358657121- -2 aws-glue-studio-transforms prod-eu-central
+ eu-north-1: -312557305497- -1 aws-glue-studio-transforms prod-eu-north
+ eu-south-1: -939684186351- -1 aws-glue-studio-transforms prod-eu-south
+ eu-south-2: -239737454084- -2 aws-glue-studio-transforms prod-eu-south
+ eu-west-1: -244479516193- aws-glue-studio-transforms -1 prod-eu-west
+ eu-west-2: -804222392271- aws-glue-studio-transforms -2 prod-eu-west
+ eu-west-3: -371299348807- aws-glue-studio-transforms -3 prod-eu-west
+ aws-glue-studio-transformsil-central-1: -806964611811- -1 prod-il-central
+ saya-central-1: -733304270342- -1 aws-glue-studio-transforms prod-me-central
+ me-south-1: -112120182341- -1 aws-glue-studio-transforms prod-me-south
+ aws-glue-studio-transformssa-east-1: -881619130292- -1 prod-sa-east
+ aws-glue-studio-transformsus-east-1: -510798373988- -1 prod-us-east
+ us-east-2: -251189692203- -2 aws-glue-studio-transforms prod-us-east
+ us-west-1: -593230150239- aws-glue-studio-transforms -1 prod-us-west
+ us-west-2: -818035625594- -2 aws-glue-studio-transforms prod-us-west
+ ap-northeast-1: -200493242866- -1 aws-glue-studio-transforms prod-ap-northeast
+ cn-utara-1: -071033555442- -1 aws-glue-studio-transforms prod-cn-north
+ cn-barat laut-1: -070947029561- -1 aws-glue-studio-transforms prod-cn-northwest
+ us-gov-west-1: aws-glue-studio-transforms -227493901923- -1-2604 prod-us-gov-west
+ eusc-de-east-1: aws-glue-studio-transforms -780995497573- -1-555 prod-eusc-de-east
Jika Anda memilih Amazon Redshift sebagai sumber data, Anda dapat memberikan peran untuk izin klaster. Pekerjaan yang dijalankan terhadap perintah masalah Amazon Redshift klaster yang mengakses Amazon S3 untuk penyimpanan sementara menggunakan kredensil sementara. Jika tugas Anda berjalan selama lebih dari satu jam, maka kredensial ini akan kedaluwarsa dan akan menyebabkan tugas gagal. Untuk menghindari masalah ini, Anda dapat menetapkan sebuah peran untuk klaster Amazon Redshift itu sendiri yang memberikan izin yang diperlukan untuk tugas tersebut dengan menggunakan kredensial sementara. Untuk informasi selengkapnya, lihat [Memindahkan Data ke dan dari Amazon Redshift](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-programming-etl-redshift.html) di *Panduan Developer AWS Glue *.
Jika tugas tersebut menggunakan sumber data atau target selain Amazon S3, maka Anda harus melampirkan izin yang diperlukan kepada IAM role yang digunakan oleh tugas tersebut untuk mengakses sumber dan target data ini. Untuk informasi selengkapnya, lihat [Menyiapkan Lingkungan Anda untuk Mengakses Penyimpanan Data](https://docs.aws.amazon.com/glue/latest/dg/start-connecting.html) di *Panduan Developer AWS Glue *.
Jika Anda menggunakan konektor dan koneksi untuk penyimpanan data Anda, maka Anda memerlukan izin tambahan, seperti yang dijelaskan di [Izin diperlukan untuk menggunakan konektor](#getting-started-min-privs-connectors).
## Izin yang diperlukan untuk menghapus tugas
Di AWS Glue Studio Anda dapat memilih beberapa pekerjaan di konsol untuk dihapus. Untuk melakukan tindakan ini, Anda harus memiliki izin `glue:BatchDeleteJob`. Hal ini berbeda dari konsol AWS Glue, yang memerlukan izin `glue:DeleteJob` untuk menghapus tugas.
## AWS Key Management Service izin
Jika Anda berencana mengakses sumber Amazon S3 dan target yang menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS), lampirkan kebijakan ke AWS Glue Studio peran yang digunakan oleh pekerjaan yang memungkinkan pekerjaan mendekripsi data. Peran tugas membutuhkan izin `kms:ReEncrypt`, `kms:GenerateDataKey`, dan `kms:DescribeKey`. Selain itu, peran pekerjaan memerlukan `kms:Decrypt` izin untuk mengunggah atau mengunduh objek Amazon S3 yang dienkripsi dengan kunci master AWS KMS pelanggan (CMK).
Ada biaya tambahan untuk penggunaan AWS KMS CMKs. Untuk informasi selengkapnya, lihat [AWS Key Management Service Konsep - Kunci Master Pelanggan (CMKs)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) dan [AWS Key Management Service Harga](https://aws.amazon.com/kms/pricing) di *Panduan AWS Key Management Service Pengembang*.
## Izin diperlukan untuk menggunakan konektor
Jika Anda menggunakan Konektor Kustom AWS Glue dan koneksi untuk mengakses penyimpanan data, maka peran yang digunakan untuk menjalankan tugas ETL AWS Glue membutuhkan izin tambahan terlampir:
+ Kebijakan terkelola AWS `AmazonEC2ContainerRegistryReadOnly` untuk mengakses konektor yang dibeli dari AWS Marketplace.
+ Izin `glue:GetJob` dan `glue:GetJobs`.
+ AWS Secrets Manager izin untuk mengakses rahasia yang digunakan dengan koneksi. Lihat [Contoh: Izin untuk mengambil nilai rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html#auth-and-access_examples_read) misalnya kebijakan IAM.
Jika eksekusi tugas ETL AWS Glue dalam VPC menjalankan Amazon VPC, maka VPC harus dikonfigurasi seperti yang dijelaskan dalam [Konfigurasikan VPC untuk pekerjaan ETL Anda](getting-started-vpc-config.md).