我对AWS Glue和Development Endpoint缺少什么许可?

时间:2018-02-12 19:30:50

标签: amazon-web-services amazon-iam aws-glue

当我尝试为AWS Glue创建开发端点时,我收到以下错误。

{"service":"AWSGlue","statusCode":400,"errorCode":"ValidationException","requestId":"<here goes an UUID>","errorMessage":"Role arn:aws:iam::<IAM ID>:role/AWSGlueServiceRole-DefaultRole should be given assume role permissions for Glue Service.\n","type":"AwsServiceError"}

我的角色具有以下权限。

  • AmazonS3FullAccess
  • AWSGlueServiceNotebookRole
  • AmazonAthenaFullAccess
  • AWSGlueServiceRole
  • CloudWatchLogsReadOnlyAccess
  • AWSGlueConsoleFullAccess
  • AWSCloudFormationReadOnlyAccess

关于我缺少什么的任何线索?

3 个答案:

答案 0 :(得分:2)

我也被这个绊倒了;问题是,当您使用控制台创建默认粘合服务角色时,它最终会创建IAM角色,如下所示:

ARN:AWS:IAM :::角色/服务角色/ AWSGlueServiceRole-DefaultRole

记下&#34;服务角色&#34;在路上。

但是当选择该角色作为您想要在控制台向导中用于设置新的开发端点的角色时,它不会包含&#34; service-role&#34;在路径中并查找名为这样的角色:

ARN:AWS:IAM :::角色/ AWSGlueServiceRole-DefaultRole

我认为这只是控制台向导中用于创建开发端点的错误。我通过创建一个没有服务角色的新角色来解决这个问题。在路径中,然后在控制台向导中选择该角色,并能够成功创建开发端点。

答案 1 :(得分:0)

在您的信任关系中,应与glue.amazonaws.com建立信任关系。您的角色(AWSGlueServiceRole-DefaultRole)可能没有此角色。要确认,请转到IAM角色控制台,选择IAM角色:AWSGlueServiceRole-DefaultRole并单击Trust Relationship选项卡。

这个的json应该是这样的:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "glue.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

信任关系的示例屏幕截图: enter image description here

答案 2 :(得分:0)

这个问题在某种程度上与我已经搞砸了的旧角色有关。在this linkthis link之后为开发创建了一个全新的角色,就像一个魅力。