Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überprüfen Sie die für den AWS Glue Studio Benutzer erforderlichen IAM Berechtigungen
Für die Nutzung AWS Glue Studio muss der Benutzer Zugriff auf verschiedene AWS Ressourcen haben. Der Benutzer muss in der Lage sein, Amazon S3 S3-Buckets, IAM Richtlinien und Rollen sowie AWS Glue Data Catalog Objekte anzuzeigen und auszuwählen.
AWS Glue-Service-Berechtigungen
AWS Glue Studio verwendet die Aktionen und Ressourcen des AWS Glue-Services. Ihr Benutzer benötigt Berechtigungen für diese Aktionen und Ressourcen, um AWS Glue Studio sinnvoll verwenden zu können. Sie können für den AWS Glue Studio-Benutzer die verwaltete Richtlinie AWSGlueConsoleFullAccess aktivieren oder eine benutzerdefinierte Richtlinie mit weniger Berechtigungen erstellen.
Wichtig
Im Sinne der Sicherheit hat es sich bewährt, den Zugriff auf Amazon-S3-Bucket- und Amazon CloudWatch -Protokoll-Gruppen durch strengere Richtlinien einzuschränken. Ein Beispiel für eine Amazon S3 S3-Richtlinie finden Sie unter IAMRichtlinien schreiben: So gewähren Sie Zugriff auf einen Amazon S3 S3-Bucket
Erstellen benutzerdefinierter IAM Richtlinien für AWS Glue Studio
Sie können eine benutzerdefinierte Richtlinie mit weniger Berechtigungen für AWS Glue Studio erstellen. Die Richtlinie kann Berechtigungen für eine Teilmenge von Objekten oder Aktionen erteilen. Verwenden Sie die folgenden Informationen, wenn Sie eine benutzerdefinierte Richtlinie erstellen.
Um das zu verwenden AWS Glue StudioAPIs, nehmen Sie glue:UseGlueStudio in die Aktionsrichtlinie Ihre IAM Berechtigungen auf. Durch glue:UseGlueStudio die Verwendung können Sie auf alle AWS Glue Studio Aktionen zugreifen, auch wenn im API Laufe der Zeit weitere Aktionen hinzugefügt werden.
Weitere Informationen zu Aktionen, die von definiert sind AWS Glue, finden Sie unter Aktionen definiert von AWS Glue.
Aktionen zur Datenaufbereitung und -erstellung
-
SendRecipeAction
-
GetRecipeAction
Aktionen mit gerichtetem azyklischem Graph () DAG
-
CreateDag
-
UpdateDag
-
GetDag
-
DeleteDag
Auftragsaktionen
-
SaveJob
-
GetJob
-
CreateJob
-
DeleteJob
-
GetJobs
-
UpdateJob
Aktionen zur Auftragsausführung
-
StartJobRun
-
GetJobRuns
-
BatchStopJobRun
-
GetJobRun
-
QueryJobRuns
-
QueryJobs
-
QueryJobRunsAggregated
Schema-Aktionen
-
GetSchema
-
GetInferredSchema
Datenbank-Aktionen
-
GetDatabases
Plan-Aktionen
-
GetPlan
Tabellen-Aktionen
-
SearchTables
-
GetTables
-
GetTable
Verbindungs-Aktionen
-
CreateConnection
-
DeleteConnection
UpdateConnection
-
GetConnections
-
GetConnection
Zuordnungs-Aktionen
-
GetMapping
S3-Proxy-Aktionen
-
ListBuckets
-
ListObjectsV2
-
GetBucketLocation
Sicherheitskonfigurations-Aktionen
-
GetSecurityConfigurations
Skript-Aktionen
-
CreateScript (anders als API der gleiche Name inAWS Glue)
Zugreifen AWS Glue Studio APIs
Um darauf zuzugreifenAWS Glue Studio, fügen Sie glue:UseGlueStudio die Liste der Aktionsrichtlinien in den IAM Berechtigungen hinzu.
Im Beispiel unten sind sie zwar glue:UseGlueStudio in der Aktionsrichtlinie enthalten, aber AWS Glue Studio APIs sie sind nicht einzeln gekennzeichnet. Das liegt daranglue:UseGlueStudio, dass Sie beim Einbeziehen automatisch Zugriff auf die internen Daten erhalten, APIs ohne dass Sie die Person AWS Glue Studio APIs in den IAM Berechtigungen angeben müssen.
In diesem Beispiel sind die zusätzlich aufgelisteten Aktionsrichtlinien (z. B.glue:SearchTables) nicht vorhanden AWS Glue StudioAPIs, sodass sie bei Bedarf in die IAM Berechtigungen aufgenommen werden müssen. Sie können auch Amazon-S3-Proxy-Aktionen einschließen, um die Ebene des zu gewährenden Amazon-S3-Zugriffs festzulegen. Die folgende Beispielrichtlinie ermöglicht den Zugriff auf das ÖffnenAWS Glue Studio, Erstellen eines Visual-Jobs und das Speichern/Ausführen des Auftrags, sofern die ausgewählte IAM Rolle über ausreichende Zugriffsrechte verfügt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "glue:UseGlueStudio", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "glue:SearchTables", "glue:GetConnections", "glue:GetJobs", "glue:GetTables", "glue:BatchStopJobRun", "glue:GetSecurityConfigurations", "glue:DeleteJob", "glue:GetDatabases", "glue:CreateConnection", "glue:GetSchema", "glue:GetTable", "glue:GetMapping", "glue:CreateJob", "glue:DeleteConnection", "glue:CreateScript", "glue:UpdateConnection", "glue:GetConnection", "glue:StartJobRun", "glue:GetJobRun", "glue:UpdateJob", "glue:GetPlan", "glue:GetJobRuns", "glue:GetTags", "glue:GetJob", "glue:QueryJobRuns", "glue:QueryJobs", "glue:QueryJobRunsAggregated", "glue:SendRecipeAction", "glue:GetRecipeAction" ], "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] }
Berechtigungen für Notebook und Datenvorschau
Mit Datenvorschauen und Notizbüchern können Sie in jeder Phase Ihres Auftrags (Lesen, Transformieren, Schreiben) ein Beispiel Ihrer Daten anzeigen, ohne den Auftrag ausführen zu müssen. Sie geben eine Rolle AWS Identity and Access Management (IAM) an, die beim Zugriff auf AWS Glue Studio die Daten verwendet werden soll. IAMRollen sind als unumgänglich anzusehen und ihnen sind keine langfristigen Standardanmeldedaten, wie z. B. ein Passwort oder Zugriffsschlüssel, zugeordnet. Stattdessen IAM stellt When ihr AWS Glue Studio die Rolle mit temporären Sicherheitsanmeldedaten zur Verfügung.
Um sicherzustellen, dass Datenvorschauen und Notebook-Befehle ordnungsgemäß funktionieren, verwenden Sie eine Rolle mit einem Namen, der mit der Zeichenfolge AWSGlueServiceRole beginnt. Wenn Sie einen anderen Namen für Ihre Rolle verwenden möchten, müssen Sie die iam:passrole Berechtigung hinzufügen und eine Richtlinie für die Rolle in konfigurierenIAM. Weitere Informationen finden Sie unter Erstellen Sie eine IAM-Richtlinie für Rollen, die nicht den Namen „AWSGlueServiceRole*“ tragen.
Warnung
Wenn eine Rolle die iam:passrole-Berechtigung für ein Notebook gewährt und Sie eine Rollenverkettung implementieren, könnte ein Benutzer unbeabsichtigt Zugriff auf das Notebook erlangen. Derzeit ist kein Auditing implementiert, mit dem Sie überwachen können, welchen Benutzern Zugriff auf das Notebook gewährt wurde.
Wenn Sie einer IAM Identität die Möglichkeit verweigern möchten, Datenvorschausitzungen zu erstellen, sehen Sie sich das folgende Beispiel anEiner Identität die Möglichkeit verweigern, Datenvorschau-Sitzungen zu erstellen.
Amazon CloudWatch -Berechtigungen
Sie können Ihre AWS Glue Studio Jobs mithilfe von Metriken überwachen Amazon CloudWatch, die Rohdaten sammeln und AWS Glue zu lesbaren near-real-time Metriken verarbeiten. Standardmäßig werden AWS Glue Metrikdaten CloudWatch automatisch an diese gesendet. Weitere Informationen finden Sie unter Was ist Amazon CloudWatch? im CloudWatch Amazon-Benutzerhandbuch und AWS GlueMetrics im AWS Glue Entwicklerhandbuch.
Um auf CloudWatch Dashboards zugreifen zu können, AWS Glue Studio benötigt der zugreifende Benutzer eine der folgenden Voraussetzungen:
-
Die Richtlinie
AdministratorAccess -
Die Richtlinie
CloudWatchFullAccess -
Eine benutzerdefinierte Richtlinie mit einem oder mehreren dieser spezifischen Berechtigungen:
-
cloudwatch:GetDashboardundcloudwatch:ListDashboardszum Anzeigen von Dashboards -
cloudwatch:PutDashboardzum Erstellen bzw. Ändern von Dashboards -
cloudwatch:DeleteDashboardszum Löschen von Dashboards
-
Weitere Informationen zum Ändern der Berechtigungen für einen IAM Benutzer mithilfe von Richtlinien finden Sie unter Ändern von Berechtigungen für einen IAM Benutzer im IAMBenutzerhandbuch.
