本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 的 IAM 許可 AWS Glue
本主題中的指示可協助您快速設定 的 AWS Identity and Access Management (IAM) 許可 AWS Glue。您將完成下列任務:
+ 授予 IAM 身分對 AWS Glue 資源的存取權。
+ 建立執行任務、存取資料和執行 AWS Glue Data Quality 任務的服務角色。
如需可用來自訂 IAM 許可的詳細說明 AWS Glue,請參閱 [設定 AWS Glue 的 IAM 許可](configure-iam-for-glue.md)。
**在 AWS Glue 中設定 的 IAM 許可 AWS 管理主控台**
1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) 開啟 AWS Glue 主控台。
1. 選擇 **Getting started (入門)**。
1. 在**準備您的帳戶下 AWS Glue**,選擇**設定 IAM 許可**。
1. 選擇您要授予 AWS Glue 許可的 IAM 身分 (角色或使用者)。 會將 `[AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)`受管政策 AWS Glue 連接到這些身分。如果您想要手動設定這些許可,或只想設定預設的服務角色,則可略過此步驟。
1. 選擇**下一步**。
1. 選擇您的角色和使用者所需的 Amazon S3 存取層級。您在此步驟中選擇的選項會套用至您選取的所有身分。
1. 在**選擇 S3 位置**下,選擇您要授予存取權的 Amazon S3 位置。
1. 接著,選取您的身分是否應具有**唯讀 (建議)** 或您先前選取位置的**讀取和寫入**存取權。 會根據所選位置和讀取或寫入許可的組合,將許可政策 AWS Glue 新增至您的身分。
下表顯示為 Amazon S3 存取 AWS Glue 附加的許可。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/glue/latest/dg/set-up-iam.html)
1. 選擇**下一步**。
1. 為您的 帳戶選擇預設 AWS Glue 服務角色。服務角色是 IAM 角色, AWS Glue 用來代表您存取其他 AWS 服務中的資源。如需詳細資訊,請參閱[Glue AWS 的服務角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service)。
+ 當您選擇標準 AWS Glue 服務角色時, AWS Glue 會在已連接下列 受管政策`AWSGlueServiceRole`的 AWS 帳戶 中建立新的 IAM 角色。如果您的帳戶已有名為 的 IAM 角色`AWSGlueServiceRole`, 會將這些政策 AWS Glue 連接至現有角色。
+ [ AWSGlueServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole) – 需要此受管政策 AWS Glue ,才能代表您存取和管理資源。它允許 AWS Glue 建立、更新和刪除各種資源,例如 AWS Glue 任務、爬蟲程式和連線。此政策也會授予 AWS Glue 存取 Amazon CloudWatch 日誌的許可,以供記錄之用。為了開始使用,建議您使用此政策來了解如何使用 AWS Glue。當您更熟悉 時 AWS Glue,您可以建立政策,讓您視需要微調對 資源的存取。
+ [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess) – 此受管政策會透過 授予 AWS Glue 服務的完整存取權 AWS 管理主控台。此政策授予在 內執行任何操作的許可 AWS Glue,讓您可以視需要建立、修改和刪除任何 AWS Glue 資源。不過,請務必注意,此政策不會授予存取基礎資料存放區或 AWS 可能涉及 ETL 程序之其他服務的許可。由於 `AWSGlueConsoleFullAccess` 政策授予的許可範圍廣泛,因此應謹慎指派,並遵循最低權限原則。通常建議盡可能建立和使用針對特定使用案例和需求而量身打造的更精細政策。
+ [ AWSGlueConsole-S3-read-only-policy](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-only-policy) – 此政策允許 從指定的 Amazon S3 儲存貯體 AWS Glue 讀取資料,但不授予在 Amazon S3 或 中寫入或修改資料的許可
[ AWSGlueConsole-S3-read-and-write](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-and-write) – 此政策允許 AWS Glue 讀取和寫入資料至指定的 Amazon S3 儲存貯體,做為 ETL 程序的一部分。
+ 當您選擇現有的 IAM 角色時, 會將角色 AWS Glue 設定為預設值,但不會新增`AWSGlueServiceRole`許可給該角色。請確定您已將角色設定為使用 做為 的服務角色 AWS Glue。如需詳細資訊,請參閱[步驟 1:建立適用於 AWS Glue 服務的 IAM 政策](create-service-policy.md)及[步驟 2:為 AWS Glue 建立 IAM 角色](create-an-iam-role.md)。
1. 選擇**下一步**。
1. 最後,檢閱您選取的許可,然後選擇**套用變更**。當您套用變更時, 會將 IAM 許可 AWS Glue 新增至您選取的身分。您可以在 IAM 主控台中檢視或修改新許可,網址為 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
您現在已完成 的最低 IAM 許可設定 AWS Glue。在生產環境中,我們建議您熟悉 [中的安全性 AWS Glue](security.md),[Glue AWS 的身分和存取管理](security-iam.md)並協助您保護使用案例 AWS 的資源。
## 後續步驟
現在您已設定 IAM 許可,您可以瀏覽下列主題以開始使用 AWS Glue:
+ [AWS 技能建置器 AWS Glue 中的 入門](https://explore.skillbuilder.aws/learn/course/external/view/elearning/8171/getting-started-with-aws-glue)
+ [AWS Glue Data Catalog入門](start-data-catalog.md)
# 設定 AWS Glue Studio
第一次使用視覺化 ETL 的 AWS Glue 時,請完成本節中的工作:
**Topics**
+ [檢閱 AWS Glue Studio 使用者所需的 IAM 許可](getting-started-min-privs.md)
+ [檢閱 ETL 任務所需的 IAM 許可](getting-started-min-privs-job.md)
+ [設定 AWS Glue Studio 的 IAM 許可](getting-started-iam-permissions.md)
+ [為您的 ETL 任務設定 VPC](getting-started-vpc-config.md)
# 檢閱 AWS Glue Studio 使用者所需的 IAM 許可
若要使用 AWS Glue Studio,使用者必須能夠存取各種 AWS 資源。使用者必須能夠檢視和選取 Amazon S3 儲存貯體、IAM 政策和角色,以及 AWS Glue Data Catalog 物件。
## AWS Glue 服務許可
AWS Glue Studio 使用 AWS Glue 服務的動作和資源。您的使用者需要這些動作和資源的許可,才能有效地使用 AWS Glue Studio。您可以授予 AWS Glue Studio 使用者 `AWSGlueConsoleFullAccess` 受管政策,或使用較小的許可集建立自訂政策。
**重要**
根據安全性最佳實務,建議透過收緊政策來限制存取,進一步限制對 Amazon S3 儲存貯體和 Amazon CloudWatch 日誌群組的存取。如需範例 Amazon S3 政策,請參閱[編寫 IAM 政策:如何授予 Amazon S3 儲存貯體的存取](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/)。
## 為 AWS Glue Studio 建立自訂 IAM 政策
您可以為 AWS Glue Studio 建立具有較小許可集的自訂政策。政策可以針對物件或動作的子集授予許可。建立自訂政策時,請使用下列資訊。
若要使用 AWS Glue Studio API,請在您 IAM 許可的動作政策中納入 `glue:UseGlueStudio`。使用 `glue:UseGlueStudio` 將讓您能存取所有 AWS Glue Studio 動作,即使隨著時間的推移會有更多動作新增到 API 中也能存取。
如需 定義的動作的詳細資訊 AWS Glue,請參閱 [ 定義的動作 AWS Glue](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglue.html)。
**資料準備撰寫動作**
+ SendRecipeAction
+ GetRecipeAction
**有向無環圖 (DAG) 動作**
+ CreateDag
+ UpdateDag
+ GetDag
+ DeleteDag
**任務動作**
+ SaveJob
+ GetJob
+ CreateJob
+ DeleteJob
+ GetJobs
+ UpdateJob
**任務執行動作**
+ StartJobRun
+ GetJobRuns
+ BatchStopJobRun
+ GetJobRun
+ QueryJobRuns
+ QueryJobs
+ QueryJobRunsAggregated
**結構描述動作**
+ GetSchema
+ GetInferredSchema
**資料庫動作**
+ GetDatabases
**計畫動作**
+ GetPlan
**資料表動作**
+ SearchTables
+ GetTables
+ GetTable
**連線動作**
+ CreateConnection
+ DeleteConnection
+ UpdateConnection
+ GetConnections
+ GetConnection
**映射動作**
+ GetMapping
**S3 代理動作**
+ ListBuckets
+ ListObjectsV2
+ GetBucketLocation
**安全組態動作**
+ GetSecurityConfigurations
**指令碼動作**
+ CreateScript (不同於 AWS Glue 中同名的 API)
## 存取 AWS Glue Studio API
若要存取 AWS Glue Studio,將 `glue:UseGlueStudio` 新增到 IAM 許可的動作政策中。
在以下範例中,將 `glue:UseGlueStudio` 納入動作政策中,但未單獨識別 AWS Glue Studio API。這是因為當您納入 `glue:UseGlueStudio` 時,會自動授予您對內部 API 的存取權,而無需在 IAM 許可中指定個別 AWS Glue Studio API。
在範例中,列出的其他動作政策 (例如 `glue:SearchTables`) 不是 AWS Glue Studio API,因此要視需要將其納入 IAM 許可中。您可能還希望納入 Amazon S3 代理動作,以指定要授予的 Amazon S3 存取等級。以下範例政策提供存取權,能打開 AWS Glue Studio、建立視覺任務,並在選定的 IAM 角色具有足夠的存取權時儲存/執行該任務。
## 筆記本和資料預覽許可
資料預覽和筆記本可讓您在任務的任何階段 (讀取、轉換、寫入) 檢視資料範例,而無需實際執行任務。您可以指定 AWS Identity and Access Management (IAM) 角色AWS Glue Studio,讓 在存取資料時使用。IAM 角色應可擔任,並且沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當 AWS Glue Studio 擔任角色時,IAM 會為其提供臨時安全性憑證。
若要確保資料預覽和記事本命令正常運作,請使用名稱以 `AWSGlueServiceRole` 字串開頭的角色。如果您選擇使用不同角色名稱,則必須新增 `iam:passrole` 許可,並設定 IAM 中角色的政策。如需詳細資訊,請參閱 [為未命名為 "AWSGlueServiceRole\$1" 的角色建立 IAM 政策](getting-started-iam-permissions.md#create-iam-policy)。
**警告**
如果角色為基本授予 `iam:passrole` 許可,並且您實作角色鏈結,則使用者可能會無意中取得筆記本的存取權。目前沒有已實作的稽核,稽核可讓您監控哪些使用者已被授予筆記本的存取權。
如果您想拒絕給予 IAM 身分建立資料預覽工作階段的能力,請參閱下列範例 [拒絕給予身分建立資料預覽工作階段的能力](security_iam_id-based-policy-examples.md#deny-data-preview-sessions-per-identity)。
## Amazon CloudWatch 許可
您可以使用 監控您的AWS Glue Studio任務 Amazon CloudWatch,該任務會收集原始資料並將其處理AWS Glue為可讀且near-real-time指標。依預設,系統會自動將 AWS Glue 指標資料傳送至 CloudWatch。如需詳細資訊,請參閱 *Amazon CloudWatch 使用者指南*中的[什麼是 Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html),以及*AWS Glue 開發人員指南*中的 [AWS Glue 指標](https://docs.aws.amazon.com/glue/latest/dg/monitoring-awsglue-with-cloudwatch-metrics.html#awsglue-metrics)。
若要存取 CloudWatch 儀表板,存取 AWS Glue Studio 的使用者需要以下其中一個項目:
+ `AdministratorAccess` 政策
+ `CloudWatchFullAccess` 政策
+ 自訂政策,其中包含一或多個特定許可:
+ `cloudwatch:GetDashboard` 和 `cloudwatch:ListDashboards` 以檢視儀表板
+ `cloudwatch:PutDashboard` 以建立或修改儀表板
+ `cloudwatch:DeleteDashboards` 以刪除儀表板
如需使用政策變更 IAM 使用者許可的詳細資訊,請參閱 *IAM 使用者指南*中的[變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。
# 檢閱 ETL 任務所需的 IAM 許可
當您使用 AWS Glue Studio 建立任務時,任務會承擔您在建立時指定之 IAM 角色的許可。此 IAM 角色必須具有從資料來源擷取資料、將資料寫入目標,以及存取 AWS Glue 資源的許可。
您為任務建立的角色名稱必須以字串 `AWSGlueServiceRole` 開頭,AWS Glue Studio 才能正確使用。例如,您可以將角色命名為 `AWSGlueServiceRole-FlightDataJob`。
## 資料來源和資料目標許可
對於您用於任務中的任何來源、目標、指令碼和臨時目錄,AWS Glue Studio 任務必須可以存取 Amazon S3。您可以建立政策,對特定 Amazon S3 資源提供精細存取。
+ 資料來源需要 `s3:ListBucket` 和 `s3:GetObject` 許可。
+ 資料目標需要 `s3:ListBucket`、`s3:PutObject` 和 `s3:DeleteObject` 許可。
**注意**
您的 IAM 政策需要允許 用於託管 AWS Glue 轉換`s3:GetObject`的特定儲存貯體。
下列儲存貯體為 AWS 服務帳戶所擁有,且可供全球讀取。這些儲存貯體做為與可透過 AWS Glue Studio 視覺化編輯器存取之轉換子集相關的原始程式碼的儲存庫。儲存貯體上的許可會設定為拒絕儲存貯體上的任何其他 API 動作。任何人都可以讀取我們為轉換提供的指令碼,但我們服務團隊以外的任何人都不能將任何內容「放入」其中。當您 AWS Glue 的任務執行時,會將該檔案提取為本機匯入,以便將檔案下載至本機容器。之後,就不會再與該帳戶進行通訊。
區域:儲存貯體名稱
+ af-south-1:aws-glue-studio-transforms-762339736633-prod-af-south-1
+ ap-east-1:aws-glue-studio-transforms-125979764932-prod-ap-east-1
+ ap-northeast-2:aws-glue-studio-transforms-673535381443-prod-ap-northeast-2
+ ap-northeast-3:aws-glue-studio-transforms-149976050262-prod-ap-northeast-3
+ ap-south-1:aws-glue-studio-transforms-584702181950-prod-ap-south-1
+ ap-south-2:aws-glue-studio-transforms-380279651983-prod-ap-south-2
+ ap-southeast-1:aws-glue-studio-transforms-737106620487-prod-ap-southeast-1
+ ap-southeast-2:aws-glue-studio-transforms-234881715811-prod-ap-southeast-2
+ ap-southeast-3:aws-glue-studio-transforms-151265630221-prod-ap-southeast-3
+ ap-southeast-4:aws-glue-studio-transforms-052235663858-prod-ap-southeast-4
+ ca-central-1:aws-glue-studio-transforms-622716468547-prod-ca-central-1
+ ca-west-1:aws-glue-studio-transforms-915795495192-prod-ca-west-1
+ eu-central-1:aws-glue-studio-transforms-560373232017-prod-eu-central-1
+ eu-central-2:aws-glue-studio-transforms-907358657121-prod-eu-central-2
+ eu-north-1:aws-glue-studio-transforms-312557305497-prod-eu-north-1
+ eu-south-1:aws-glue-studio-transforms-939684186351-prod-eu-south-1
+ eu-south-2:aws-glue-studio-transforms-239737454084-prod-eu-south-2
+ eu-west-1:aws-glue-studio-transforms-244479516193-prod-eu-west-1
+ eu-west-2:aws-glue-studio-transforms-804222392271-prod-eu-west-2
+ eu-west-3:aws-glue-studio-transforms-371299348807-prod-eu-west-3
+ il-central-1:aws-glue-studio-transforms-806964611811-prod-il-central-1
+ me-central-1:aws-glue-studio-transforms-733304270342-prod-me-central-1
+ me-south-1:aws-glue-studio-transforms-112120182341-prod-me-south-1
+ sa-east-1:aws-glue-studio-transforms-881619130292-prod-sa-east-1
+ us-east-1:aws-glue-studio-transforms-510798373988-prod-us-east-1
+ us-east-2:aws-glue-studio-transforms-251189692203-prod-us-east-2
+ us-west-1:aws-glue-studio-transforms-593230150239-prod-us-west-1
+ us-west-2:aws-glue-studio-transforms-818035625594-prod-us-west-2
+ ap-northeast-1:aws-glue-studio-transforms-200493242866-prod-ap-northeast-1
+ cn-north-1:aws-glue-studio-transforms-071033555442-prod-cn-north-1
+ cn-northwest-1:aws-glue-studio-transforms-070947029561-prod-cn-northwest-1
+ us-gov-west-1: aws-glue-studio-transforms-227493901923-prod-us-gov-west-1-2604
+ eusc-de-east-1:aws-glue-studio-transforms-780995497573-prod-eusc-de-east-1-555
如果您選擇 Amazon Redshift 做為資料來源,您可以為叢集許可提供 角色。針對 Amazon Redshift 叢集執行的任務會發出使用臨時登入資料存取 Amazon S3 進行暫時儲存的命令。如果您的任務執行超過一小時,這些憑證將會過期,導致任務失敗。若要避免此問題,您可以將角色指派給 Amazon Redshift 叢集本身,可將必要的許可授予使用臨時憑證的任務。如需詳細資訊,請參閱 *AWS Glue 開發人員指南*中的[將資料移入及移出 Amazon Redshift](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-programming-etl-redshift.html)。
如果任務使用 Amazon S3 以外的資料來源或目標,則必須將必要的許可連接到任務所使用的 IAM 角色以存取這些資料來源和目標。如需詳細資訊,請參閱 *AWS Glue 開發人員指南*中的[設定您的環境,以存取資料存放區](https://docs.aws.amazon.com/glue/latest/dg/start-connecting.html)。
如果您為資料存放區使用連接器和連線,則需要其他許可,如[使用連接器所需的許可](#getting-started-min-privs-connectors)中所述。
## 刪除任務所需的許可
在 AWS Glue Studio 中,您可以在主控台中選取多個任務來刪除。若要執行此動作,您必須具有 `glue:BatchDeleteJob` 許可。這有別於 AWS Glue 主控台,在此處需要 `glue:DeleteJob` 許可才能刪除任務。
## AWS Key Management Service 許可
如果您計劃存取使用伺服器端加密搭配 AWS Key Management Service (AWS KMS) 的 Amazon S3 來源和目標,請將政策連接至任務所使用的AWS Glue Studio角色,讓任務能夠解密資料。任務角色需要 `kms:ReEncrypt`、`kms:GenerateDataKey` 以及 `kms:DescribeKey` 許可。此外,任務角色需要 `kms:Decrypt`許可,才能上傳或下載使用 AWS KMS 客戶主金鑰 (CMK) 加密的 Amazon S3 物件。
使用 AWS KMS CMKs 需支付額外費用。如需詳細資訊,請參閱 *AWS Key Management Service 開發人員指南*中的 [AWS Key Management Service 概念 - 客戶主金鑰 (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)和 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing)。
## 使用連接器所需的許可
如果您使用 AWS Glue Custom Connector 和連線來存取資料存放區,則用於執行 AWS Glue ETL 任務的角色需要連接額外的許可:
+ 用於存取從中購買連接器`AmazonEC2ContainerRegistryReadOnly`的 AWS 受管政策 AWS Marketplace。
+ `glue:GetJob` 和 `glue:GetJobs` 許可。
+ AWS Secrets Manager 存取與連線搭配使用之秘密的許可。請參閱 [Example: Permission to retrieve secret values](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html#auth-and-access_examples_read) (範例:擷取秘密值的許可) 以了解 IAM 政策範例。
如果您的 AWS Glue ETL 任務在執行 Amazon VPC 的 VPC 內執行,則必須按照[為您的 ETL 任務設定 VPC](getting-started-vpc-config.md)所述設定 VPC。
# 設定 AWS Glue Studio 的 IAM 許可
您可以建立角色,並將政策指派給使用者和任務角色,方法是使用 AWS 管理員使用者。
您可以使用 **AWSGlueConsoleFullAccess** AWS 受管政策來提供使用AWS Glue Studio主控台的必要許可。
若要建立您自己的政策,請遵循 *AWS Glue 開發人員指南*中的[建立適用於 AWS Glue 服務的 IAM 政策](https://docs.aws.amazon.com/glue/latest/dg/create-service-policy.html)。包含先前 [檢閱 AWS Glue Studio 使用者所需的 IAM 許可](getting-started-min-privs.md) 中描述的 IAM 許可。
**Topics**
+ [將政策連接至 AWS Glue Studio 使用者。](#attach-iam-policy)
+ [為未命名為 "AWSGlueServiceRole\$1" 的角色建立 IAM 政策](#create-iam-policy)
## 將政策連接至 AWS Glue Studio 使用者。
登入AWS Glue Studio主控台的任何 AWS 使用者都必須具有存取特定資源的許可。您可透過將 IAM 政策指派給使用者來提供這些許可。
**將 **AWSGlueConsoleFullAccess** 受管政策連接至使用者**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**政策**。
1. 在政策清單中,選取 **AWSGlueConsoleFullAccess** 旁的核取方塊。您可用**篩選**功能表和搜尋方塊來篩選政策清單。
1. 選擇**政策動作**,再選擇**附加**。
1. 選擇要附加政策的使用者。您可用**篩選**功能表和搜尋方塊來篩選主體實體清單。選擇要附加的使用者後,選擇**附加政策**。
1. 視需要重複上述步驟,將其他政策連接至使用者。
## 為未命名為 "AWSGlueServiceRole\$1" 的角色建立 IAM 政策
**為 AWS Glue Studio 使用的角色設定 IAM 政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 新增新的 IAM 政策。您可以新增至現有政策,或建立新的 IAM 內嵌政策。建立 IAM 政策:
1. 選擇**政策**,然後選擇**建立政策**。出現**開始使用**按鈕時,選擇它,然後選擇**建立政策**。
1. 在**建立您自己的政策**旁邊,選擇**選取**。
1. 針對**政策名稱**,輸入您稍後容易參考的任何值。(選用) 在**說明**中輸入描述性文字。
1. 針對**政策文件**,使用下列格式輸入政策文件,然後選擇**建立政策**:
1. 將下列區塊複製並貼入「陳述式」陣列下的政策中,並將 *my-interactive-session-role-prefix* 取代為要與 AWS Glue的許可相關聯的所有常用角色的字首。
```
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/my-interactive-session-role-prefix*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com "
]
}
}
}
```
以下是政策中包含的版本和陳述式陣列的完整範例
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/my-interactive-session-role-prefix*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com "
]
}
}
}
]
}
```
------
1. 若要為使用者啟用政策,請選擇**使用者**。
1. 選擇要連接政策的 使用者。
# 為您的 ETL 任務設定 VPC
您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在 內您自己的邏輯隔離區域中定義虛擬網路 AWS 雲端,稱為*虛擬私有雲端 (VPC)*。您可以在您的 VPC 中啟動 AWS 資源 (例如執行個體)。VPC 近似於您在自有資料中心內運作的傳統網路,卻能提供 AWS可擴展性基礎設施的效益。您可以設定您的 VPC;您可以選取其 IP 地址範圍、建立子網,以及設定路由表、網路閘道與安全設定。您可以將 VPC 中的執行個體連線至網際網路。您可以將 VPC 連接到自己的公司資料中心,讓資料中心 AWS 雲端 成為延伸。為了保護各個子網路的資源,您可使用多個安全性層級,包括安全群組及網路存取控制清單。如需詳細資訊,請參閱 [Amazon VPC 使用者指南](https://docs.aws.amazon.com/vpc/latest/userguide/)。
您可以設定您的 AWS Glue ETL 任務在使用連接器時在 VPC 內執行。您必須根據需要為下列項目設定 VPC:
+ 資料存放區的公有網路存取不在其中 AWS。任務可存取的所有資料存放區必須可從 VPC 子網路使用。
+ 如果您的任務需要同時存取 VPC 資源和公有網際網路,則 VPC 需要在 VPC 中有一個網路位址轉譯 (NAT) 閘道。
如需詳細資訊,請參閱 *AWS Glue 開發人員指南*中的[設定您的環境,以存取資料存放區](https://docs.aws.amazon.com/glue/latest/dg/start-connecting.html)。
# AWS Glue Studio 中的筆記本入門
透過 AWS Glue Studio 啟動筆記本,所有的設定步驟都會自動完成,以便您在幾秒鐘之後探索資料並開始開發任務指令碼。
下列各節介紹如何建立角色並授予適當許可,以在 AWS Glue Studio 中將筆記本用於 ETL 任務。
如需 Glue AWS 定義的動作的詳細資訊,請參閱 [Glue AWS 定義的動作。 ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglue.html)
**Topics**
+ [授予 IAM 角色的許可](#studio-notebook-permissions)
## 授予 IAM 角色的許可
設定 AWS Glue Studio 是使用筆記本的先決條件。
若要在 AWS Glue 中使用筆記本,您的角色需要滿足下列條件:
+ 與 AWS Glue 之間的信任關係,用於 `sts:AssumeRole` 動作;若您想標記,則為 `sts:TagSession` 動作。
+ IAM 政策,其中包含筆記本、AWS Glue 和互動式工作階段的所有許可。
+ 傳遞角色的 IAM 政策,原因是角色需要能將自身從筆記本傳遞至互動式工作階段。
例如,當您建立新角色時,您可以將 等標準 AWS 受管政策新增至`AWSGlueConsoleFullAccessRole`角色,然後為筆記本操作新增政策,並為 IAM PassRole 政策新增另一個政策。
### 與 AWS Glue 之間信任關係的所需操作
在開始筆記本工作階段時,您必須將 `sts:AssumeRole` 新增至已傳遞至筆記本的角色信任關係。如果您的工作階段包含標籤,則您也必須傳遞 `sts:TagSession` 動作。如果沒有這些動作,將無法開始筆記本工作階段。
例如:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### 包含筆記本 IAM 許可的政策
下列範例政策說明筆記本所需的 AWS IAM 許可。如果您要建立新角色,請建立包含下列項目的政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:StartNotebook",
"glue:TerminateNotebook",
"glue:GlueNotebookRefreshCredentials",
"glue:DeregisterDataPreview",
"glue:GetNotebookInstanceStatus",
"glue:GlueNotebookAuthorize"
],
"Resource": "*"
}
]
}
```
------
您可以使用以下 IAM 政策來允許存取特定資源:
+ *AwsGlueSessionUserRestrictedNotebookServiceRole*:提供存取所有 AWS Glue 資源的完整權限 (工作階段除外)。允許使用者僅建立並使用與使用者相關聯的筆記本工作階段。此政策也包含 AWS Glue 管理其他 AWS 服務中的AWS Glue資源所需的其他許可。
+ *AwsGlueSessionUserRestrictedNotebookPolicy*:提供允許使用者僅建立和使用與該使用者相關聯的筆記本工作階段的許可。此政策也包括明確允許使用者傳遞受限制 AWS Glue 工作階段角色的許可。
### 傳遞角色的 IAM 政策
在您使用角色建立筆記本時,系統會將該角色傳遞至互動式工作階段,以便在兩個位置皆可使用同一個角色。因此,`iam:PassRole` 許可需要成為角色政策的一部分。
使用下列範例為角色建立新政策。用您的帳號與角色名稱取代範例中的值。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/"
}
]
}
```
------