Перейти к основному содержимому

Политики AWS IAM

Политика в AWS IAM объявляет набор разрешений для конкретного ресурса AWS. После создания политики необходимо прикрепить её к роли IAM или пользователю. Таким образом, роли IAM или пользователю назначаются разрешения, объявленные в политике, для доступа к указанному ресурсу AWS.

Различные операции в Selena требуют наличия разрешений доступа к различным ресурсам AWS, поэтому необходимо настроить различные политики.

В этой теме представлены политики IAM, которые необходимо настроить для интеграции Selena с различными ресурсами AWS в различных бизнес-сценариях при выборе метода аутентификации на основе профиля экземпляра, принимаемой роли или пользователя IAM.

Пакетная загрузка данных из AWS S3

Если вы хотите загружать данные из вашего S3-бакета, настройте следующую политику IAM:

ВНИМАНИЕ

Замените <bucket_name> в следующем шаблоне JSON-политики на имя вашего S3-бакета, в котором хранятся ваши файлы данных.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "s3",
          "Effect": "Allow",
          "Action": [
              "s3:GetObject"
          ],
          "Resource": [
              "arn:aws:s3:::<bucket_name>/*"
          ]
      },
      {
          "Sid": "s3list",
          "Effect": "Allow",
          "Action": [
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::<bucket_name>"
          ]
      }
  ]
}

Чтение/запись AWS S3

Если вы хотите запрашивать данные из вашего S3-бакета, настройте следующую политику IAM:

ВНИМАНИЕ

Замените <bucket_name> в следующем шаблоне JSON-политики на имя вашего S3-бакета, в котором хранятся ваши файлы данных.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Sid": "s3",
          "Effect": "Allow",
          "Action": [
              "s3:PutObject",
              "s3:GetObject",
              "s3:DeleteObject"
          ],
          "Resource": [
              "arn:aws:s3:::<bucket_name>/*"
          ]
      },
      {
          "Sid": "s3list",
          "Effect": "Allow",
          "Action": [
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::<bucket_name>"
          ]
      }
  ]
}

Интеграция с AWS Glue

Если вы хотите интегрироваться с вашим каталогом данных AWS Glue, настройте следующую политику IAM:

{
    "Version": "2012-10-17",
    "Statement": [
      {
          "Effect": "Allow",
          "Action": [
                "glue:BatchCreatePartition",
                "glue:UpdateDatabase",
                "glue:GetConnections",
                "glue:CreateTable",
                "glue:DeleteDatabase",
                "glue:BatchUpdatePartition",
                "glue:GetTables",
                "glue:GetTableVersions",
                "glue:GetPartitions",
                "glue:UpdateTable",
                "glue:BatchGetPartition",
                "glue:DeleteTable",
                "glue:GetDatabases",
                "glue:GetDevEndpoint",
                "glue:GetTable",
                "glue:GetDatabase",
                "glue:GetPartition",
                "glue:GetDevEndpoints",
                "glue:GetConnection",
                "glue:CreateDatabase",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:UpdatePartition"
          ],
          "Resource": [
              "*"
            ]
        }
    ]
}