我所拥有的只是访问密钥和秘密访问密钥,它们能够在一个帐户中访问S3存储桶。我想在一个不同的帐户中设置一个AWS Glue搜寻器,该帐户将在此S3存储桶中的文件上运行。
是否可以仅使用访问密钥/秘密访问密钥,还是需要先将文件复制到自己帐户中的S3存储桶中,然后将搜寻器设置为在该位置运行?
memorymm808196 回答:允许AWS Glue搜寻器访问其他帐户中的Amazon S3存储桶
创建AWS Glue搜寻器时,您将创建一个 IAM角色,当代表您调用其他服务时,AWS Glue可以承担该角色。该角色将具有一个ARN(Amazon资源名称),例如:
arn:aws:iam::123456789012:role/crawler-role
您可以在目标存储桶上创建存储桶策略,以授予对此IAM角色的访问权限。看起来像这样:
{
"Version": "2012-10-17","Statement": [
{
"Sid": "PublicRead","Effect": "Allow","Principal": {
"AWS": [
"arn:aws:iam::123456789012:role/crawler-role"
]
},"Action": [
"s3:ListBucket","s3:GetObject"
],"Resource": [
"arn:aws:s3:::examplebucket","arn:aws:s3:::examplebucket/*"
]
}
]
}
这表示允许所指定的IAM角色(由搜寻器使用)列出存储桶中的内容并获取对象。