Question

当我为AWS Glue服务创建S3 VPC端点以从红移群集卸载数据时，ETL作业仅在VPC端点策略设置为＆＃34;完全访问＆＃34;时才起作用。

即

 {
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

当策略设置为＆＃34; custom＆＃34;时，它不起作用。并修改如下。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": ["arn:aws:s3:::examplebucket",
                   "arn:aws:s3:::examplebucket/*"],
            "Principal": "*"
        }
    ]
}

在ETL作业中，我已将examplebucket指定为保存ETL脚本和临时文件的位置，因此我发现很难理解为什么只有在策略设置为Custom时ETL作业才会失败。 Glue是否尝试访问作业中指定存储桶以外的其他S3资源？

Answer 1

胶水作业还需要以下内容： 1. S3中的临时目录。 2.在S3中用于存储生成的python脚本的位置。

例如，如果未指定脚本位置;胶水自动选择以下位置＆＃34; s3：// aws-glue-scripts-YourAccountId-us-east-1 /＆＃34;

确保您的IAM角色政策反映您选择的s3位置。

AWS Glue S3 VPC端点策略问题

1 个答案: