# Etapa 3: Defina as configurações de segurança
**perfil do IAM**
O crawler assume essa função. Ele deve ter permissões para a política `AWSGlueServiceRole` gerenciada pela AWS. Para fontes do Amazon S3 e do DynamoDB, ele também deve ter permissões para acessar o datastore. Se o crawler ler os dados do Amazon S3 criptografados pelo AWS Key Management Service (AWS KMS), a função do IAM deverá ter permissão de descriptografia na chave do AWS KMS.
Para um datastore do Amazon S3, permissões adicionais anexadas à função seriam semelhantes às seguintes:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket/object*"
]
}
]
}
```
Para um datastore do Amazon DynamoDB, permissões adicionais anexadas à função seriam semelhantes às seguintes:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:DescribeTable",
"dynamodb:Scan"
],
"Resource": [
"arn:aws:dynamodb:*:111122223333:table/table-name*"
]
}
]
}
```
Para adicionar seu próprio driver JDBC, permissões adicionais precisam ser adicionadas.
+ Conceda permissões para as seguintes ações: `CreateJob`, `DeleteJob`, `GetJob`, `GetJobRun`, `StartJobRun`.
+ Conceda permissões para as ações do Amazon S3: `s3:DeleteObjects`, `s3:GetObject`, `s3:ListBucket`, `s3:PutObject`.
**nota**
`s3:ListBucket` não é necessário se a política de buckets do Amazon S3 estiver desabilitada.
+ Conceda acesso de entidade principal de serviço a bucket/pasta na política do Amazon S3.
Exemplo de política do Amazon S3:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/driver-parent-folder/driver.jar",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
O AWS Glue cria as pastas a seguir (`_crawler` e `_glue_job_crawler`) no mesmo nível do driver JDBC no bucket do Amazon S3. Por exemplo, se o caminho do driver for ``, as seguintes pastas serão criadas se ainda não existirem:
+
+
Opcionalmente, você pode adicionar uma configuração de segurança para um crawler para especificar opções de criptografia em repouso.
Para obter mais informações, consulte [Etapa 2: criar um perfil do IAM para o AWS Glue](create-an-iam-role.md) e [Gerenciamento de identidade e acesso do AWS Glue](security-iam.md).
**Lake Formation configuration (Configuração do Lake Formation) - opcional**
Permita que o crawler use credenciais do Lake Formation para fazer crawling na fonte de dados.
Marcar **Use Lake Formation credentials for crawling S3 data source** (Usar credenciais do Lake Formation para rastrear a fonte de dados do S3) permitirá que o crawler use as credenciais do Lake Formation para rastrear a fonte de dados. Se a fonte de dados pertencer a outra conta, você deve fornecer a ID da conta registrada. Senão, o crawler rastreará somente as fontes de dados associadas à conta. Aplicável somente às fontes de dados do Amazon S3 e do Data Catalog.
**Configuração de segurança - opcional**
As configurações incluem configurações de segurança. Para saber mais, consulte:
+ [Criptografar dados gravados pelo AWS Glue](encryption-security-configuration.md)
Depois que uma configuração de segurança for definida em um crawler, você poderá alterá-la, mas não poderá removê-la. Para reduzir o nível de segurança em um crawler, defina explicitamente o recurso de segurança como `DISABLED` dentro da sua configuração ou crie um novo crawler.