

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Fase 2: creare un ruolo IAM per AWS Glue
<a name="create-an-iam-role"></a>

A questo punto devi concedere le autorizzazioni del ruolo IAM che AWS Glue può assumere quando chiama altri servizi per tuo conto. Ciò include l'accesso ad Amazon S3 per le origini, le destinazioni, gli script e le directory temporanee che usi con AWS Glue. Le autorizzazioni sono necessarie per crawler, processi ed endpoint di sviluppo.

Fornisci tali autorizzazioni utilizzando AWS Identity and Access Management (IAM). Aggiungi una policy al ruolo IAM passato a AWS Glue.

****Per creare un ruolo IAM all'interno del job editor****

1. Quando crei un lavoro nella AWS Glue console, individua la sezione relativa al ruolo.

1. Scegli **Create new role** (Crea nuovo ruolo).

1. Si apre un modulo in linea per la creazione di ruoli, che consente di:
   + Specificate **il nome del ruolo**, `AWSGlueServiceRoleDefault` ad esempio.
   + La politica gestita `AWSGlueServiceRole` viene selezionata automaticamente.
   + Rivedi la politica di fiducia per assumere il ruolo.
   + Aggiungi tag opzionali per i metadati.

1. Scegli **Crea ruolo**.

1. Il ruolo appena creato viene selezionato automaticamente per il tuo lavoro.

In alternativa, puoi utilizzare la console IAM per creare il ruolo:

****Per creare un ruolo IAM per AWS Glue l'utilizzo della console IAM****

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione a sinistra seleziona **Ruoli**.

1. Scegli **Crea ruolo**.

1.  Per il tipo di entità attendibile, scegli il **servizio AWS **. Quindi, per l'assistenza o il caso d'uso, trova e seleziona **AWS Glue**. Scegli **Next (Successivo)**. 

1. Nella pagina **Aggiungi autorizzazioni**, scegli le politiche che contengono le autorizzazioni richieste; ad esempio, la politica gestita per le autorizzazioni generali AWS Glue e la politica AWS gestita **AmazonS3 `AWSGlueServiceRole` per l' AWS accesso FullAccess alle risorse Amazon S3**. Quindi scegli **Successivo**.
**Nota**  
Verifica che una delle policy in questo ruolo conceda le autorizzazioni per le origini e le destinazioni Amazon S3. Puoi fornire una policy personalizzata per l'accesso a risorse Amazon S3 specifiche. Le origini dati richiedono le autorizzazioni `s3:ListBucket` e `s3:GetObject`. Le destinazioni dati richiedono le autorizzazioni `s3:ListBucket`, `s3:PutObject` e `s3:DeleteObject`. Per ulteriori informazioni sulla creazione di una policy Amazon S3 per le risorse, vedi [Specificare le risorse in una policy](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html). Per un esempio di policy Amazon S3, consulta la pagina relativa alla [scrittura di policy IAM per concedere l'accesso a un bucket Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).   
Se prevedi di accedere a origini e destinazioni Amazon S3 crittografate con SSE-KMS, collega una policy che permetta a crawler, processi ed endpoint di sviluppo AWS Glue di decrittografare i dati. Per ulteriori informazioni, consulta [Protezione dei dati utilizzando la crittografia lato server con chiavi gestite (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). AWS KMS  
Di seguito è riportato un esempio di :  

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "kms:Decrypt"
         ],
         "Resource": [
           "arn:aws:kms:*:111122223333:key/key-id"
         ]
       }
     ]
   }
   ```

1.  Assegna un nome al tuo ruolo e aggiungi una descrizione (facoltativa), quindi rivedi la policy di attendibilità e le autorizzazioni. Per **Role name** (Nome ruolo), digita un nome per il ruolo, ad esempio `AWSGlueServiceRoleDefault`. Crea il ruolo usando come prefisso del nome la stringa `AWSGlueServiceRole` per permettere il passaggio del ruolo dagli utenti della console al servizio. Le policy fornite da AWS Glue prevedono ruoli di servizio IAM che iniziano con `AWSGlueServiceRole`. In caso contrario, è necessario aggiungere una policy per concedere agli utenti l'autorizzazione `iam:PassRole` per i ruoli IAM in modo da soddisfare la convenzione per la denominazione. Selezionare **Crea ruolo**.
**Nota**  
Quando crei un notebook con un ruolo, tale ruolo viene passato alle sessioni interattive in modo che lo stesso ruolo possa essere utilizzato in entrambe le posizioni. Come tale, il permesso `iam:PassRole` deve essere parte della policy del ruolo.   
Crea una nuova policy per il tuo ruolo utilizzando l'esempio seguente. Sostituisci il numero di account con il tuo e il nome del ruolo.   

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iam:PassRole",
         "Resource": "arn:aws:iam::090000000210:role/<role_name>"
       }
     ]
   }
   ```

1.  Aggiungi tag al tuo ruolo (facoltativo). I tag sono coppie chiave-valore che è possibile aggiungere alle AWS risorse per identificare, organizzare o cercare risorse. Quindi seleziona **Create role** (Crea ruolo).