# 为 AWS Glue Studio 设置 IAM 权限
<a name="getting-started-iam-permissions"></a>

您可以通过使用 AWS 管理员用户，创建角色并将策略分配给用户和任务角色。

您可以使用 **AWSGlueConsoleFullAccess** AWS 托管式策略提供使用 AWS Glue Studio 控制台所需的权限。

要创建您自己的策略，请按照*《AWS Glue 开发人员指南》*中的[为 AWS Glue 服务创建 IAM policy](https://docs.aws.amazon.com/glue/latest/dg/create-service-policy.html) 记录的步骤进行操作。包括前面在 [审核 AWS Glue Studio 用户需要 IAM 权限](getting-started-min-privs.md) 中描述的 IAM 权限。

**Topics**
+ [将策略附加至 AWS Glue Studio 用户](#attach-iam-policy)
+ [为未命名为“AWSGlueServiceRole\$1”的角色创建 IAM policy](#create-iam-policy)

## 将策略附加至 AWS Glue Studio 用户
<a name="attach-iam-policy"></a>

登录 AWS Glue Studio 控制台的任何 AWS 用户都必须具有访问特定资源的权限。您可使用向用户分配 IAM 策略来提供这些权限。

**向用户附加 **AWSGlueConsoleFullAccess** 托管策略**

1. 登录到 AWS 管理控制台，然后通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格中，选择**策略**。

1. 在策略列表中，选中 **AWSGlueConsoleFullAccess** 旁边的复选框。您可以使用 **Filter** 菜单和搜索框来筛选策略列表。

1. 选择 **Policy actions（策略操作）**，然后选择 **Attach（附加）**。

1. 选择要将策略附加到的用户。您可以使用 **Filter**（筛选条件）菜单和搜索框来筛选委托人实体列表。在选择要将策略附加到的用户后，选择 **Attach policy** (附加策略)。

1. 根据需要，重复前面的步骤向用户附上其他策略。

## 为未命名为“AWSGlueServiceRole\$1”的角色创建 IAM policy
<a name="create-iam-policy"></a>

**要为 AWS Glue Studio 所使用的角色配置 IAM policy**

1. 登录 AWS 管理控制台，然后通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 添加新的 IAM policy。您可以添加到现有策略或创建新的 IAM 内联策略。若要创建 IAM policy：

   1. 选择 **Policies**，然后选择 **Create Policy**。如果 **Get Started (开始使用)** 按钮出现，选择此按钮，然后选择 **Create Policy (创建策略)**。

   1. 在 **Create Your Own Policy** 旁，选择 **Select**。

   1. 对于 **Policy Name (策略名称)**，键入一个便于您稍后参考的值。（可选）在 **Description (描述)** 中键入说明性文本。

   1. 对于 **Policy Document (策略文档)**，请使用以下格式键入策略语句，然后选择 **Create Policy (创建策略)**：

1. 将以下块复制并粘贴到“Statement”数组下的策略中，将 *my-interactive-session-role-prefix* 替换为所有要与 AWS Glue 的权限关联的常用角色的前缀。

   ```
   {
       "Action": [
           "iam:PassRole"
       ],
       "Effect": "Allow",
       "Resource": "arn:aws:iam::*:role/my-interactive-session-role-prefix*",
       "Condition": {
           "StringLike": {
               "iam:PassedToService": [
                   "glue.amazonaws.com "
               ]
           }
       }
   }
   ```

    以下是策略中包含的版本和语句阵列的完整示例 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Action": [
           "iam:PassRole"
         ],
         "Effect": "Allow",
         "Resource": "arn:aws:iam::*:role/my-interactive-session-role-prefix*",
         "Condition": {
           "StringLike": {
             "iam:PassedToService": [
               "glue.amazonaws.com "
             ]
           }
         }
       }
     ]
   }
   ```

------

1. 要对某个用户启用策略，请选择**用户**。

1. 选择您要向其挂载策略的 用户。