Glueクローラーのデータソースとして別AWSアカウントのS3バケットを指定したい

Glueクローラーのデータソースとして別AWSアカウントのS3バケットを指定したい

Glue クローラーのデータソースとして異なる AWS アカウントが所有する S3 バケットを指定する場合の、必要なアクセス許可について説明します。
AWSテクニカルサポートノート

AWSテクニカルサポートノート

#AWS Glue
#Amazon S3
Akino

Akino

facebook logohatena logotwitter logo
Clock Icon2024.04.17

困っていた内容

Glue クローラーのデータソースとして、異なる AWS アカウントが所有する S3 バケットを指定したいのですが、どのようなアクセス許可が必要ですか。

どう対応すればいいの?

クローラーにアタッチされている IAM ロールからの s3:GetObjects3:ListBucket 許可を、S3 バケットのバケットポリシーにて設定する必要があります。

アカウント A: クローラーを作成する AWS アカウント

Glue クローラー作成画面では、クローラーにアタッチする IAM ロールを作成できますが、別アカウント所有の S3 バケットであるからと言って、このロールの内容を特別に変更する必要はありません。

なお、クローラーに必要な IAM ロールの権限については、以下ドキュメントで確認できます。

アカウント B: S3 バケットを所有する AWS アカウント

対象バケットで以下のようなバケットポリシーを設定します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<AWS アカウント A のクローラーにアタッチした IAM ロール ARN>"
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::<S3バケット名>",
                "arn:aws:s3:::<S3バケット名>/*"
            ]
        }
    ]
}

結果

正常に実行が完了することを確認できました。

参考資料

Share this article

facebook logohatena logotwitter logo

関連記事

AWS Glue のAmazon Q データ統合を試してみました

AWS Glue のAmazon Q データ統合を試してみました

User avatar
石川覚
2024.11.16
Amazon EventBridge SchedulerとAWS Glue Python Shellの定期実行をCDKで構築する

Amazon EventBridge SchedulerとAWS Glue Python Shellの定期実行をCDKで構築する

User avatar
niino
2024.11.07
クラスメソッド データアナリティクス通信(AWSデータ分析編) – 2024年11月号

クラスメソッド データアナリティクス通信(AWSデータ分析編) – 2024年11月号

User avatar
石川覚
2024.11.06
データ分析ツールにデータを取り込まずに検索! - Splunk Federated Search for S3 を使ってみた

データ分析ツールにデータを取り込まずに検索! - Splunk Federated Search for S3 を使ってみた

User avatar
酒井剛
2024.10.28
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.