AWS IAM policy
AWS IAM 中的策略声明对特定 AWS 资源的一组权限。创建策略后,您需要将其附加到 IAM 角色或用户。 这样,IAM 角色或用户就被分配了策略中声明的权限来访问指定的 AWS 资源。
StarRocks 中的不同操作要求您拥有对不同 AWS 资源的访问权限,因此您需要配置不同的策略。
本主题提供了您需要配置的 IAM 策略,以便在您选择 基于实例配置文件、承担角色或 IAM 用户的身份验证方法时,StarRocks 与各种业务场景中的不同 AWS 资源集成。
从 AWS S3 批量加载数据
如果您想从 S3 bucket 中加载数据,请配置以下 IAM 策略
注意
在以下 JSON 策略模板中,将
<bucket_name>替换为您存储数据文件的 S3 bucket 的名称。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "s3",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::<bucket_name>/*"
]
},
{
"Sid": "s3list",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
]
}
]
}
读/写 AWS S3
如果您想从 S3 bucket 查询数据,请配置以下 IAM 策略
注意
在以下 JSON 策略模板中,将
<bucket_name>替换为您存储数据文件的 S3 bucket 的名称。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "s3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::<bucket_name>/*"
]
},
{
"Sid": "s3list",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::<bucket_name>"
]
}
]
}
与 AWS Glue 集成
如果您想与您的 AWS Glue Data Catalog 集成,请配置以下 IAM 策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:UpdateDatabase",
"glue:GetConnections",
"glue:CreateTable",
"glue:DeleteDatabase",
"glue:BatchUpdatePartition",
"glue:GetTables",
"glue:GetTableVersions",
"glue:GetPartitions",
"glue:UpdateTable",
"glue:BatchGetPartition",
"glue:DeleteTable",
"glue:GetDatabases",
"glue:GetDevEndpoint",
"glue:GetTable",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetDevEndpoints",
"glue:GetConnection",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:UpdatePartition"
],
"Resource": [
"*"
]
}
]
}