当我为AWS Glue服务创建S3 VPC端点以从红移群集卸载数据时,ETL作业仅在VPC端点策略设置为"完全访问"时才起作用。
即
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
}
]
}
当策略设置为" custom"时,它不起作用。并修改如下。
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": ["arn:aws:s3:::examplebucket",
"arn:aws:s3:::examplebucket/*"],
"Principal": "*"
}
]
}
在ETL作业中,我已将examplebucket指定为保存ETL脚本和临时文件的位置,因此我发现很难理解为什么只有在策略设置为Custom时ETL作业才会失败。 Glue是否尝试访问作业中指定存储桶以外的其他S3资源?
答案 0 :(得分:0)
胶水作业还需要以下内容: 1. S3中的临时目录。 2.在S3中用于存储生成的python脚本的位置。
例如,如果未指定脚本位置;胶水自动选择以下位置" s3:// aws-glue-scripts-YourAccountId-us-east-1 /"
确保您的IAM角色政策反映您选择的s3位置。