Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan izin IAM untuk AWS Glue
Petunjuk dalam topik ini membantu Anda mengatur izin AWS Identity and Access Management (IAM) dengan cepat untuk. AWS Glue Anda akan menyelesaikan tugas-tugas berikut:
+ Berikan identitas IAM Anda akses ke AWS Glue sumber daya.
+ Buat peran layanan untuk menjalankan pekerjaan, mengakses data, dan menjalankan tugas Kualitas AWS Glue Data.
Untuk petunjuk terperinci yang dapat Anda gunakan untuk menyesuaikan izin IAM AWS Glue, lihat. [Mengkonfigurasi izin IAM untuk AWS Glue](configure-iam-for-glue.md)
**Untuk mengatur izin IAM untuk AWS Glue di Konsol Manajemen AWS**
1. Masuk ke Konsol Manajemen AWS dan buka AWS Glue konsol di [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).
1. Pilih **Memulai**.
1. Di bawah **Siapkan akun Anda AWS Glue**, pilih **Siapkan izin IAM**.
1. Pilih identitas IAM (peran atau pengguna) yang ingin Anda berikan AWS Glue izin. AWS Glue melampirkan kebijakan yang `[AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)` dikelola pada identitas ini. Anda dapat melewati langkah ini jika Anda ingin mengatur izin ini secara manual atau hanya ingin menetapkan peran layanan default.
1. Pilih **Berikutnya**.
1. Pilih tingkat akses Amazon S3 yang dibutuhkan peran dan pengguna Anda. Opsi yang Anda pilih dalam langkah ini diterapkan ke semua identitas yang Anda pilih.
1. Di bawah **Pilih lokasi S3**, pilih lokasi Amazon S3 yang ingin Anda akses.
1. Selanjutnya, pilih apakah identitas Anda harus memiliki akses **Baca saja (disarankan)** atau **Baca dan tulis** ke lokasi yang sebelumnya Anda pilih. AWS Glue menambahkan kebijakan izin ke identitas Anda berdasarkan kombinasi lokasi dan izin baca atau tulis yang Anda pilih.
Tabel berikut menampilkan izin yang AWS Glue dilampirkan untuk akses Amazon S3.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/glue/latest/dg/set-up-iam.html)
1. Pilih **Berikutnya**.
1. Pilih peran AWS Glue layanan default untuk akun Anda. Peran layanan adalah peran IAM yang AWS Glue digunakan untuk mengakses sumber daya di AWS layanan lain atas nama Anda. Untuk informasi selengkapnya, lihat [Peran layanan untuk AWS Glue](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service).
+ Bila Anda memilih peran AWS Glue layanan standar, AWS Glue buat peran IAM baru dalam Akun AWS nama Anda `AWSGlueServiceRole` dengan kebijakan terkelola berikut yang dilampirkan. Jika akun Anda sudah memiliki nama peran IAM`AWSGlueServiceRole`, AWS Glue lampirkan kebijakan ini ke peran yang ada.
+ [ AWSGlueServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole)Kebijakan terkelola ini diperlukan AWS Glue untuk mengakses dan mengelola sumber daya atas nama Anda. Ini memungkinkan AWS Glue untuk membuat, memperbarui, dan menghapus berbagai sumber daya seperti AWS Glue pekerjaan, crawler, dan koneksi. Kebijakan ini juga memberikan izin untuk mengakses Amazon CloudWatch log AWS Glue untuk tujuan pencatatan. Untuk tujuan memulai, sebaiknya gunakan kebijakan ini untuk mempelajari cara menggunakannya AWS Glue. Ketika Anda merasa lebih nyaman AWS Glue, Anda dapat membuat kebijakan yang memungkinkan Anda untuk menyempurnakan akses ke sumber daya sesuai kebutuhan.
+ [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)— Kebijakan terkelola ini memberikan akses penuh ke AWS Glue layanan melalui. Konsol Manajemen AWS Kebijakan ini memberikan izin untuk melakukan operasi apa pun di dalamnya AWS Glue, memungkinkan Anda membuat, memodifikasi, dan menghapus AWS Glue sumber daya apa pun sesuai kebutuhan. Namun, penting untuk dicatat bahwa kebijakan ini tidak memberikan izin untuk mengakses penyimpanan data yang mendasarinya atau AWS layanan lain yang mungkin terlibat dalam proses ETL. Karena cakupan izin yang luas yang diberikan oleh `AWSGlueConsoleFullAccess` kebijakan, izin tersebut harus ditetapkan dengan hati-hati dan mengikuti prinsip hak istimewa paling sedikit. Umumnya disarankan untuk membuat dan menggunakan kebijakan yang lebih terperinci yang disesuaikan dengan kasus penggunaan dan persyaratan tertentu bila memungkinkan.
+ [ AWSGlueConsole-S3- read-only-policy](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-only-policy) — Kebijakan ini memungkinkan AWS Glue untuk membaca data dari bucket Amazon S3 yang ditentukan, tetapi tidak memberikan izin untuk menulis atau memodifikasi data di Amazon S3 atau
[ AWSGlueConsole-S3- read-and-write](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-and-write) — Kebijakan ini memungkinkan AWS Glue untuk membaca dan menulis data ke bucket Amazon S3 tertentu sebagai bagian dari proses ETL.
+ Saat Anda memilih peran IAM yang ada, AWS Glue tetapkan peran sebagai default, tetapi tidak menambahkan `AWSGlueServiceRole` izin ke dalamnya. Pastikan Anda telah mengonfigurasi peran yang akan digunakan sebagai peran layanan AWS Glue. Untuk informasi selengkapnya, lihat [Langkah 1: Buat kebijakan IAM untuk layanan AWS Glue](create-service-policy.md) dan [Langkah 2: Buat peran IAM untuk AWS Glue](create-an-iam-role.md).
1. Pilih **Berikutnya**.
1. Terakhir, tinjau izin yang telah Anda pilih lalu pilih **Terapkan perubahan**. Saat Anda menerapkan perubahan, AWS Glue menambahkan izin IAM ke identitas yang Anda pilih. Anda dapat melihat atau memodifikasi izin baru di konsol IAM di. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
Anda sekarang telah menyelesaikan pengaturan izin IAM minimum untuk. AWS Glue Dalam lingkungan produksi, kami menyarankan Anda membiasakan diri dengan [Keamanan di AWS Glue](security.md) dan [Manajemen identitas dan akses untuk AWS Glue](security-iam.md) membantu Anda mengamankan AWS sumber daya untuk kasus penggunaan Anda.
## Langkah selanjutnya
Sekarang setelah Anda memiliki izin IAM yang disiapkan, Anda dapat menjelajahi topik berikut untuk mulai menggunakan: AWS Glue
+ [Memulai dengan AWS Glue di AWS Skill Builder](https://explore.skillbuilder.aws/learn/course/external/view/elearning/8171/getting-started-with-aws-glue)
+ [Memulai dengan AWS Glue Data Catalog](start-data-catalog.md)
# Pengaturan untuk AWS Glue Studio
Selesaikan tugas di bagian ini saat Anda menggunakan AWS Glue ETL visual untuk pertama kalinya:
**Topics**
+ [Tinjau izin IAM yang diperlukan untuk pengguna AWS Glue Studio](getting-started-min-privs.md)
+ [Tinjau izin IAM yang diperlukan untuk pekerjaan ETL](getting-started-min-privs-job.md)
+ [Siapkan izin IAM untuk AWS Glue Studio](getting-started-iam-permissions.md)
+ [Konfigurasikan VPC untuk pekerjaan ETL Anda](getting-started-vpc-config.md)
# Tinjau izin IAM yang diperlukan untuk pengguna AWS Glue Studio
Untuk menggunakannyaAWS Glue Studio, pengguna harus memiliki akses ke berbagai AWS sumber daya. Pengguna harus dapat melihat dan memilih bucket Amazon S3, kebijakan IAM dan IAM role, dan objek AWS Glue Data Catalog.
## Izin layanan AWS Glue
AWS Glue Studiomenggunakan tindakan dan sumber daya AWS Glue layanan. Pengguna Anda memerlukan izin pada tindakan dan sumber daya ini untuk digunakan AWS Glue Studio secara efektif. Anda dapat memberi AWS Glue Studio pengguna kebijakan `AWSGlueConsoleFullAccess` terkelola, atau membuat kebijakan khusus dengan sekumpulan izin yang lebih kecil.
**penting**
Sesuai praktik keamanan terbaik, disarankan untuk membatasi akses dengan memperketat kebijakan untuk lebih membatasi akses ke bucket Amazon S3 dan grup log Amazon CloudWatch . Untuk contoh kebijakan Amazon S3, lihat [Menulis Kebijakan IAM: Cara Memberikan Akses ke Bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).
## Membuat Kebijakan IAM Kustom untuk AWS Glue Studio
Anda dapat membuat kebijakan kustom dengan sekumpulan izin yang lebih kecil untukAWS Glue Studio. Kebijakan dapat memberikan izin untuk subset objek atau tindakan. Gunakan informasi berikut saat membuat kebijakan khusus.
Untuk menggunakan AWS Glue Studio APIs, sertakan `glue:UseGlueStudio` dalam kebijakan tindakan dalam izin IAM Anda. Menggunakan `glue:UseGlueStudio` akan memungkinkan Anda untuk mengakses semua AWS Glue Studio tindakan bahkan ketika lebih banyak tindakan ditambahkan ke API dari waktu ke waktu.
Untuk informasi selengkapnya tentang tindakan yang ditentukan oleh AWS Glue, lihat [Tindakan yang ditentukan oleh AWS Glue](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglue.html).
**Persiapan data pembuatan Tindakan**
+ SendRecipeAction
+ GetRecipeAction
**Tindakan grafik asiklik terarah (DAG)**
+ CreateDag
+ UpdateDag
+ GetDag
+ DeleteDag
**Aksi Job**
+ SaveJob
+ GetJob
+ CreateJob
+ DeleteJob
+ GetJobs
+ UpdateJob
**Job run Actions**
+ StartJobRun
+ GetJobRuns
+ BatchStopJobRun
+ GetJobRun
+ QueryJobRuns
+ QueryJobs
+ QueryJobRunsAggregated
**Tindakan Skema**
+ GetSchema
+ GetInferredSchema
**Tindakan Database**
+ GetDatabases
**Rencanakan Tindakan**
+ GetPlan
**Tindakan Tabel**
+ SearchTables
+ GetTables
+ GetTable
**Tindakan Koneksi**
+ CreateConnection
+ DeleteConnection
+ UpdateConnection
+ GetConnections
+ GetConnection
**Tindakan Pemetaan**
+ GetMapping
**Tindakan Proksi S3**
+ ListBuckets
+ ListObjectsV2
+ GetBucketLocation
**Tindakan Konfigurasi Keamanan**
+ GetSecurityConfigurations
**Tindakan Skrip**
+ CreateScript (berbeda dari API dengan nama yang sama diAWS Glue)
## Mengakses AWS Glue Studio APIs
Untuk mengaksesAWS Glue Studio, tambahkan `glue:UseGlueStudio` daftar kebijakan tindakan di izin IAM.
Dalam contoh di bawah `glue:UseGlueStudio` ini, termasuk dalam kebijakan tindakan, tetapi tidak AWS Glue Studio APIs diidentifikasi secara individual. Itu karena ketika Anda menyertakan`glue:UseGlueStudio`, Anda secara otomatis diberikan akses ke internal APIs tanpa harus menentukan individu AWS Glue Studio APIs dalam izin IAM.
Dalam contoh, kebijakan tindakan tambahan yang terdaftar (misalnya,`glue:SearchTables`) tidak AWS Glue Studio APIs, jadi kebijakan tersebut harus disertakan dalam izin IAM sesuai kebutuhan. Anda mungkin juga ingin menyertakan tindakan Proxy Amazon S3 untuk menentukan tingkat akses Amazon S3 yang akan diberikan. Contoh kebijakan di bawah ini menyediakan akses untuk membukaAWS Glue Studio, membuat pekerjaan visual, dan save/run jika peran IAM yang dipilih memiliki akses yang memadai.
## Izin buku catatan dan pratinjau data
Pratinjau data dan notebook memungkinkan Anda untuk melihat sampel data Anda pada setiap tahap pekerjaan Anda (membaca, mengubah, menulis), tanpa harus menjalankan pekerjaan. Anda menentukan peran AWS Identity and Access Management (IAM) AWS Glue Studio untuk digunakan saat mengakses data. Peran IAM dimaksudkan untuk diasumsikan dan tidak memiliki kredensi jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebaliknya, ketika AWS Glue Studio mengambil peran, IAM menyediakannya dengan kredensil keamanan sementara.
Untuk memastikan pratinjau data dan perintah notebook berfungsi dengan benar, gunakan peran yang memiliki nama yang dimulai dengan string`AWSGlueServiceRole`. Jika Anda memilih untuk menggunakan nama yang berbeda untuk peran Anda, Anda harus menambahkan `iam:passrole` izin dan mengonfigurasi kebijakan untuk peran di IAM. Untuk informasi selengkapnya, lihat [Buat kebijakan IAM untuk peran yang tidak diberi nama "AWSGlueServiceRole\$1”](getting-started-iam-permissions.md#create-iam-policy).
**Awas**
Jika peran memberikan `iam:passrole` izin untuk buku catatan, dan Anda menerapkan rantai peran, pengguna dapat secara tidak sengaja mendapatkan akses ke buku catatan tersebut. Saat ini tidak ada audit yang diterapkan yang akan memungkinkan Anda untuk memantau pengguna mana yang telah diberikan akses ke notebook.
Jika Anda ingin menolak identitas IAM kemampuan untuk membuat sesi pratinjau data, lihat contoh [Menolak identitas kemampuan untuk membuat sesi pratinjau data](security_iam_id-based-policy-examples.md#deny-data-preview-sessions-per-identity) berikut.
## Amazon CloudWatch izin
Anda dapat memantau AWS Glue Studio pekerjaan Anda menggunakan Amazon CloudWatch, yang mengumpulkan dan memproses data mentah dari AWS Glue menjadi metrik yang dapat dibaca. near-real-time Secara default, data AWS Glue metrik dikirim secara CloudWatch otomatis. Untuk informasi selengkapnya, lihat [Apa itu Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) di *Panduan CloudWatch Pengguna Amazon*, dan [AWS GlueMetrik](https://docs.aws.amazon.com/glue/latest/dg/monitoring-awsglue-with-cloudwatch-metrics.html#awsglue-metrics) di *Panduan AWS Glue Pengembang*.
Untuk mengakses CloudWatch dasbor, pengguna yang mengakses AWS Glue Studio memerlukan salah satu dari yang berikut:
+ Kebijakan `AdministratorAccess`
+ Kebijakan `CloudWatchFullAccess`
+ Kebijakan kustom yang mencakup satu atau beberapa izin spesifik tersebut:
+ `cloudwatch:GetDashboard` dan `cloudwatch:ListDashboards` untuk melihat dasbor
+ `cloudwatch:PutDashboard` untuk membuat atau memodifikasi dasbor
+ `cloudwatch:DeleteDashboards` untuk menghapus dasbor
Untuk informasi selengkapnya tentang cara merubah izin bagi pengguna IAM yang menggunakan kebijakan, lihat [Mengubah Izin untuk Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) di *Panduan Pengguna IAM*.
# Tinjau izin IAM yang diperlukan untuk pekerjaan ETL
Saat Anda membuat pekerjaan menggunakanAWS Glue Studio, pekerjaan mengasumsikan izin peran IAM yang Anda tentukan saat Anda membuatnya. Peran IAM ini harus memiliki izin untuk mengekstrak data dari sumber data Anda, menulis data ke target Anda, dan mengakses AWS Glue sumber daya.
Nama peran yang Anda buat untuk pekerjaan harus dimulai dengan string `AWSGlueServiceRole` agar dapat digunakan dengan benarAWS Glue Studio. Misalnya, Anda dapat memberi nama peran dengan `AWSGlueServiceRole-FlightDataJob`.
## Izin sumber data dan target data
AWS Glue StudioPekerjaan harus memiliki akses ke Amazon S3 untuk sumber, target, skrip, dan direktori sementara apa pun yang Anda gunakan dalam pekerjaan Anda. Anda dapat membuat sebuah kebijakan untuk memberikan akses terperinci ke sumber daya Amazon S3 tertentu.
+ Sumber data memerlukan izin `s3:ListBucket` dan `s3:GetObject`.
+ Target data memerlukan izin `s3:ListBucket`, `s3:PutObject`, dan `s3:DeleteObject`.
**catatan**
Kebijakan IAM Anda perlu mengizinkan `s3:GetObject` bucket khusus yang digunakan untuk transformasi hosting AWS Glue .
Bucket berikut dimiliki oleh akun AWS layanan dan dapat dibaca di seluruh dunia. Bucket ini berfungsi sebagai repositori untuk kode sumber yang berkaitan dengan subset transformasi yang dapat diakses melalui editor visual. AWS Glue Studio Izin pada bucket disiapkan untuk menolak tindakan API lainnya di bucket. Siapa pun dapat membaca skrip yang kami sediakan untuk transformasi, tetapi tidak ada orang di luar tim layanan kami yang dapat “memasukkan” apa pun di dalamnya. Saat AWS Glue pekerjaan Anda berjalan, file tersebut ditarik sebagai impor lokal sehingga file diunduh ke wadah lokal. Setelah itu, tidak ada komunikasi lebih lanjut dengan akun itu.
Wilayah: Nama ember
+ af-south-1: -762339736633- -1 aws-glue-studio-transforms prod-af-south
+ ap-east-1: -125979764932 aws-glue-studio-transforms - -1 prod-ap-east
+ ap-northeast-2: -673535381443- -2 aws-glue-studio-transforms prod-ap-northeast
+ ap-northeast-3: -149976050262- -3 aws-glue-studio-transforms prod-ap-northeast
+ aws-glue-studio-transformsap-south-1: -584702181950- -1 prod-ap-south
+ aws-glue-studio-transformsap-south-2: -380279651983- -2 prod-ap-south
+ ap-southeast-1: -737106620487- -1 aws-glue-studio-transforms prod-ap-southeast
+ ap-southeast-2: -234881715811- -2 aws-glue-studio-transforms prod-ap-southeast
+ ap-southeast-3: -151265630221- -3 aws-glue-studio-transforms prod-ap-southeast
+ ap-southeast-4: -052235663858- -4 aws-glue-studio-transforms prod-ap-southeast
+ ca-central-1: -622716468547- -1 aws-glue-studio-transforms prod-ca-central
+ ca-west-1: -915795495192- aws-glue-studio-transforms -1 prod-ca-west
+ eu-central-1: -560373232017- -1 aws-glue-studio-transforms prod-eu-central
+ eu-central-2: -907358657121- -2 aws-glue-studio-transforms prod-eu-central
+ eu-north-1: -312557305497- -1 aws-glue-studio-transforms prod-eu-north
+ eu-south-1: -939684186351- -1 aws-glue-studio-transforms prod-eu-south
+ eu-south-2: -239737454084- -2 aws-glue-studio-transforms prod-eu-south
+ eu-west-1: -244479516193- aws-glue-studio-transforms -1 prod-eu-west
+ eu-west-2: -804222392271- aws-glue-studio-transforms -2 prod-eu-west
+ eu-west-3: -371299348807- aws-glue-studio-transforms -3 prod-eu-west
+ aws-glue-studio-transformsil-central-1: -806964611811- -1 prod-il-central
+ saya-central-1: -733304270342- -1 aws-glue-studio-transforms prod-me-central
+ me-south-1: -112120182341- -1 aws-glue-studio-transforms prod-me-south
+ aws-glue-studio-transformssa-east-1: -881619130292- -1 prod-sa-east
+ aws-glue-studio-transformsus-east-1: -510798373988- -1 prod-us-east
+ us-east-2: -251189692203- -2 aws-glue-studio-transforms prod-us-east
+ us-west-1: -593230150239- aws-glue-studio-transforms -1 prod-us-west
+ us-west-2: -818035625594- -2 aws-glue-studio-transforms prod-us-west
+ ap-northeast-1: -200493242866- -1 aws-glue-studio-transforms prod-ap-northeast
+ cn-utara-1: -071033555442- -1 aws-glue-studio-transforms prod-cn-north
+ cn-barat laut-1: -070947029561- -1 aws-glue-studio-transforms prod-cn-northwest
+ us-gov-west-1: aws-glue-studio-transforms -227493901923- -1-2604 prod-us-gov-west
+ eusc-de-east-1: aws-glue-studio-transforms -780995497573- -1-555 prod-eusc-de-east
Jika Anda memilih Amazon Redshift sebagai sumber data, Anda dapat memberikan peran untuk izin klaster. Pekerjaan yang dijalankan terhadap perintah masalah Amazon Redshift klaster yang mengakses Amazon S3 untuk penyimpanan sementara menggunakan kredensil sementara. Jika tugas Anda berjalan selama lebih dari satu jam, maka kredensial ini akan kedaluwarsa dan akan menyebabkan tugas gagal. Untuk menghindari masalah ini, Anda dapat menetapkan sebuah peran untuk klaster Amazon Redshift itu sendiri yang memberikan izin yang diperlukan untuk tugas tersebut dengan menggunakan kredensial sementara. Untuk informasi selengkapnya, lihat [Memindahkan Data ke dan dari Amazon Redshift](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-programming-etl-redshift.html) di *Panduan Developer AWS Glue *.
Jika tugas tersebut menggunakan sumber data atau target selain Amazon S3, maka Anda harus melampirkan izin yang diperlukan kepada IAM role yang digunakan oleh tugas tersebut untuk mengakses sumber dan target data ini. Untuk informasi selengkapnya, lihat [Menyiapkan Lingkungan Anda untuk Mengakses Penyimpanan Data](https://docs.aws.amazon.com/glue/latest/dg/start-connecting.html) di *Panduan Developer AWS Glue *.
Jika Anda menggunakan konektor dan koneksi untuk penyimpanan data Anda, maka Anda memerlukan izin tambahan, seperti yang dijelaskan di [Izin diperlukan untuk menggunakan konektor](#getting-started-min-privs-connectors).
## Izin yang diperlukan untuk menghapus tugas
Di AWS Glue Studio Anda dapat memilih beberapa pekerjaan di konsol untuk dihapus. Untuk melakukan tindakan ini, Anda harus memiliki izin `glue:BatchDeleteJob`. Hal ini berbeda dari konsol AWS Glue, yang memerlukan izin `glue:DeleteJob` untuk menghapus tugas.
## AWS Key Management Service izin
Jika Anda berencana mengakses sumber Amazon S3 dan target yang menggunakan enkripsi sisi server dengan AWS Key Management Service (AWS KMS), lampirkan kebijakan ke AWS Glue Studio peran yang digunakan oleh pekerjaan yang memungkinkan pekerjaan mendekripsi data. Peran tugas membutuhkan izin `kms:ReEncrypt`, `kms:GenerateDataKey`, dan `kms:DescribeKey`. Selain itu, peran pekerjaan memerlukan `kms:Decrypt` izin untuk mengunggah atau mengunduh objek Amazon S3 yang dienkripsi dengan kunci master AWS KMS pelanggan (CMK).
Ada biaya tambahan untuk penggunaan AWS KMS CMKs. Untuk informasi selengkapnya, lihat [AWS Key Management Service Konsep - Kunci Master Pelanggan (CMKs)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) dan [AWS Key Management Service Harga](https://aws.amazon.com/kms/pricing) di *Panduan AWS Key Management Service Pengembang*.
## Izin diperlukan untuk menggunakan konektor
Jika Anda menggunakan Konektor Kustom AWS Glue dan koneksi untuk mengakses penyimpanan data, maka peran yang digunakan untuk menjalankan tugas ETL AWS Glue membutuhkan izin tambahan terlampir:
+ Kebijakan terkelola AWS `AmazonEC2ContainerRegistryReadOnly` untuk mengakses konektor yang dibeli dari AWS Marketplace.
+ Izin `glue:GetJob` dan `glue:GetJobs`.
+ AWS Secrets Manager izin untuk mengakses rahasia yang digunakan dengan koneksi. Lihat [Contoh: Izin untuk mengambil nilai rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html#auth-and-access_examples_read) misalnya kebijakan IAM.
Jika eksekusi tugas ETL AWS Glue dalam VPC menjalankan Amazon VPC, maka VPC harus dikonfigurasi seperti yang dijelaskan dalam [Konfigurasikan VPC untuk pekerjaan ETL Anda](getting-started-vpc-config.md).
# Siapkan izin IAM untuk AWS Glue Studio
Anda dapat membuat peran dan menetapkan kebijakan untuk pengguna dan peran tugas dengan menggunakan pengguna administrator AWS .
Anda dapat menggunakan kebijakan **AWSGlueConsoleFullAccess** AWS terkelola untuk memberikan izin yang diperlukan untuk menggunakan AWS Glue Studio konsol.
Untuk membuat kebijakan Anda sendiri, ikuti langkah-langkah yang didokumentasikan di [Membuat Kebijakan IAM untuk Layanan AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/create-service-policy.html) di *Panduan Developer AWS Glue *. Sertakan izin IAM yang dijelaskan sebelumnya di. [Tinjau izin IAM yang diperlukan untuk pengguna AWS Glue Studio](getting-started-min-privs.md)
**Topics**
+ [Lampirkan kebijakan ke AWS Glue Studio pengguna](#attach-iam-policy)
+ [Buat kebijakan IAM untuk peran yang tidak diberi nama "AWSGlueServiceRole\$1”](#create-iam-policy)
## Lampirkan kebijakan ke AWS Glue Studio pengguna
Setiap AWS pengguna yang masuk ke AWS Glue Studio konsol harus memiliki izin untuk mengakses sumber daya tertentu. Anda memberikan izin tersebut dengan menggunakan penetapan kebijakan IAM kepada pengguna.
**Untuk melampirkan kebijakan **AWSGlueConsoleFullAccess**terkelola ke pengguna**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Dalam daftar kebijakan, pilih kotak centang di sebelah **AWSGlueConsoleFullAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan.
1. Pilih **Tindakan kebijakan**, lalu pilih **Lampirkan**.
1. Pilih pengguna untuk dilampiri kebijakan ini. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna yang akan dilampiri kebijakan, pilih **Lampirkan kebijakan**.
1. Ulangi langkah sebelumnya untuk melampirkan kebijakan tambahan kepada pengguna, sesuai kebutuhan.
## Buat kebijakan IAM untuk peran yang tidak diberi nama "AWSGlueServiceRole\$1”
**Untuk mengonfigurasi kebijakan IAM untuk peran yang digunakan oleh AWS Glue Studio**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Tambahkan kebijakan IAM baru. Anda dapat menambahkan kebijakan yang sudah ada atau membuat kebijakan inline IAM baru. Untuk membuat kebijakan IAM:
1. Pilih **Kebijakan**, lalu pilih **Buat Kebijakan**. Jika tombol **Memulai** muncul, pilih tombol tersebut, lalu pilih **Buat Kebijakan**.
1. Di sebelah **Buat Kebijakan Anda Sendiri**, pilih **Pilih**.
1. Untuk **Nama Kebijakan**, ketikkan nilai apa pun yang mudah Anda rujuk nanti. **Secara opsional, ketik teks deskriptif dalam Deskripsi.**
1. Untuk **Dokumen Kebijakan**, ketik pernyataan kebijakan dengan format berikut, lalu pilih **Buat Kebijakan**:
1. Salin dan tempel blok berikut ke dalam kebijakan di bawah larik “Pernyataan”, ganti *my-interactive-session-role-prefix* dengan awalan untuk semua peran umum yang akan dikaitkan dengan izin. AWS Glue
```
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/my-interactive-session-role-prefix*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com "
]
}
}
}
```
Berikut adalah contoh lengkap dengan array Versi dan Pernyataan yang disertakan dalam kebijakan
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/my-interactive-session-role-prefix*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com "
]
}
}
}
]
}
```
------
1. Untuk mengaktifkan kebijakan bagi pengguna, pilih **Pengguna**.
1. Pilih pengguna yang ingin Anda lampirkan kebijakan.
# Konfigurasikan VPC untuk pekerjaan ETL Anda
Anda dapat menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk menentukan jaringan virtual di area Anda sendiri yang terisolasi secara logis di dalam AWS Cloud, yang dikenal sebagai *virtual private cloud (VPC*). Anda dapat meluncurkan sumber daya AWS , seperti instans, ke dalam VPC Anda. VPC Anda sangat menyerupai jaringan tradisional yang mungkin Anda operasikan di pusat data Anda sendiri, dengan memanfaatkan infrastruktur terukur dari AWS. Anda dapat mengonfigurasi VPC Anda; Anda dapat memilih baris alamat IP, membuat subnet, dan mengonfigurasi tabel rute, gateway jaringan, dan pengaturan keamanan. Anda dapat menghubungkan instans dalam VPC Anda ke internet. Anda dapat menghubungkan VPC Anda ke pusat data perusahaan Anda sendiri, membuat AWS Cloud perpanjangan pusat data Anda. Untuk melindungi sumber daya di setiap subnet, Anda dapat menggunakan beberapa lapisan keamanan, termasuk grup keamanan dan daftar kontrol akses jaringan. Untuk informasi selengkapnya, silakan lihat ACL Jaringan di [Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
Anda dapat mengkonfigurasi tugas ETL AWS Glue untuk dijalankan dalam sebuah VPC saat menggunakan konektor. Anda harus mengkonfigurasi VPC Anda seperti berikut, sesuai keperluan:
+ Akses jaringan publik untuk penyimpanan data tidak masuk AWS. Semua penyimpanan data yang diakses oleh tugas harus tersedia dari subnet VPC.
+ Jika tugas Anda perlu mengakses sumber daya VPC dan internet publik, maka VPC perlu memiliki gateway network address translation (NAT) di dalam VPC tersebut.
Untuk informasi selengkapnya, lihat [Menyiapkan Lingkungan Anda untuk Mengakses Penyimpanan Data](https://docs.aws.amazon.com/glue/latest/dg/start-connecting.html) di *Panduan Developer AWS Glue *.
# Memulai dengan notebook di AWS Glue Studio
Ketika Anda memulai buku catatanAWS Glue Studio, semua langkah konfigurasi dilakukan untuk Anda sehingga Anda dapat menjelajahi data Anda dan mulai mengembangkan skrip pekerjaan Anda setelah hanya beberapa detik.
Bagian berikut menjelaskan cara membuat peran dan memberikan izin yang sesuai untuk menggunakan buku catatan untuk pekerjaan ETL. AWS Glue Studio
Untuk informasi selengkapnya tentang tindakan yang ditentukan oleh AWS Glue, lihat [Tindakan yang ditentukan oleh AWS Glue](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglue.html).
**Topics**
+ [Memberikan izin untuk peran IAM](#studio-notebook-permissions)
## Memberikan izin untuk peran IAM
Menyiapkan AWS Glue Studio adalah prasyarat untuk menggunakan notebook.
Untuk menggunakan buku catatanAWS Glue, peran Anda memerlukan yang berikut:
+ Hubungan kepercayaan dengan AWS Glue untuk `sts:AssumeRole` tindakan dan, jika Anda ingin menandai maka`sts:TagSession`.
+ Kebijakan IAM yang berisi semua izin untuk buku catatanAWS Glue, dan sesi interaktif.
+ Kebijakan IAM untuk peran lulus karena peran tersebut harus dapat berpindah sendiri dari notebook ke sesi interaktif.
Misalnya, saat membuat peran baru, Anda dapat menambahkan kebijakan AWS terkelola standar seperti `AWSGlueConsoleFullAccessRole` ke peran tersebut, lalu menambahkan kebijakan baru untuk operasi buku catatan dan PassRole kebijakan IAM lainnya.
### Tindakan yang diperlukan untuk hubungan kepercayaan dengan AWS Glue
Saat memulai sesi buku catatan, Anda harus menambahkan `sts:AssumeRole` ke hubungan kepercayaan dari peran yang diteruskan ke buku catatan. Jika sesi Anda menyertakan tag, Anda juga harus lulus `sts:TagSession` tindakan. Tanpa tindakan ini, sesi notebook tidak dapat dimulai.
Contoh:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Kebijakan yang berisi izin IAM untuk buku catatan
Kebijakan contoh berikut menjelaskan izin AWS IAM yang diperlukan untuk buku catatan. Jika Anda membuat peran baru, buat kebijakan yang berisi hal-hal berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:StartNotebook",
"glue:TerminateNotebook",
"glue:GlueNotebookRefreshCredentials",
"glue:DeregisterDataPreview",
"glue:GetNotebookInstanceStatus",
"glue:GlueNotebookAuthorize"
],
"Resource": "*"
}
]
}
```
------
Anda dapat menggunakan kebijakan IAM berikut untuk mengizinkan akses ke sumber daya tertentu:
+ *AwsGlueSessionUserRestrictedNotebookServiceRole*: Menyediakan akses penuh ke semua AWS Glue sumber daya kecuali untuk sesi. Memungkinkan pengguna untuk membuat dan menggunakan hanya sesi notebook yang terkait dengan pengguna. Kebijakan ini juga mencakup izin lain yang diperlukan AWS Glue untuk mengelola AWS Glue sumber daya di AWS layanan lain.
+ *AwsGlueSessionUserRestrictedNotebookPolicy*: Menyediakan izin yang memungkinkan pengguna untuk membuat dan menggunakan hanya sesi notebook yang terkait dengan pengguna. Kebijakan ini juga mencakup izin untuk secara eksplisit mengizinkan pengguna melewati peran sesi terbatasAWS Glue.
### Kebijakan IAM untuk lulus peran
Saat Anda membuat buku catatan dengan peran, peran tersebut kemudian diteruskan ke sesi interaktif sehingga peran yang sama dapat digunakan di kedua tempat. Dengan demikian, `iam:PassRole` izin harus menjadi bagian dari kebijakan peran.
Buat kebijakan baru untuk peran Anda menggunakan contoh berikut. Ganti nomor akun dengan nomor Anda sendiri dan nama peran.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/"
}
]
}
```
------