Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Gewährung AWS verwalteter Richtlinien für AWS Glue
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS -Service wird oder neue API Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.
AWS verwaltete (vordefinierte) Richtlinien für AWS Glue
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM Richtlinien, die von erstellt und verwaltet werden AWS. Diese AWS verwalteten Richtlinien gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle, sodass Sie nicht erst untersuchen müssen, welche Berechtigungen benötigt werden. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.
Die folgenden AWS verwalteten Richtlinien, die Sie an Identitäten in Ihrem Konto anhängen können, sind spezifisch für Anwendungsszenarien AWS Glue und nach Anwendungsszenarien gruppiert:
-
AWSGlueConsoleFullAccess
— Gewährt vollen Zugriff auf AWS Glue Ressourcen, wenn eine Identität, an die die Richtlinie angehängt ist, die AWS Management Console verwendet. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben Benutzer alle Konsolenfunktionalitäten. Diese Richtlinie wird typischerweise mit Benutzern der AWS Glue-Konsole verknüpft. -
AWSGlueServiceRole
— Gewährt Zugriff auf Ressourcen, die für die Ausführung verschiedener AWS Glue Prozesse in Ihrem Namen erforderlich sind. Zu diesen Ressourcen gehören AWS Glue Amazon S3IAM, CloudWatch Logs und AmazonEC2. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben AWS Glue-Prozesse die erforderlichen Berechtigungen. Diese Richtlinie wird typischerweise mit Rollen verknüpft, die bei der Definition von Crawlern, Aufträgen und Entwicklungsendpunkten angegeben werden. -
AwsGlueSessionUserRestrictedServiceRole
— Bietet vollen Zugriff auf alle AWS Glue Ressourcen mit Ausnahme von Sitzungen. Sie erlaubt Benutzern nur die interaktiven Sitzungen zu erstellen und zu verwenden, die mit dem Benutzer verknüpft sind. Diese Richtlinie umfasst weitere Berechtigungen, die für AWS Glue die Verwaltung von AWS Glue Ressourcen in anderen AWS Diensten erforderlich sind. Die Richtlinie ermöglicht auch das Hinzufügen von Tags zu AWS Glue Ressourcen in anderen AWS Diensten. Anmerkung
Um die vollen Sicherheitsvorteile zu erzielen, gewähren Sie diese Richtlinie nicht einem Benutzer, dem die
AWSGlueServiceRole,AWSGlueConsoleFullAccess, oderAWSGlueConsoleSageMakerNotebookFullAccess-Richtlinie zugewiesen wurde. -
AwsGlueSessionUserRestrictedPolicy
— Ermöglicht den Zugriff auf die Erstellung AWS Glue interaktiver Sitzungen mithilfe dieser CreateSessionAPI Operation nur, wenn ein Tag-Schlüssel „Besitzer“ und ein Wert angegeben werden, die der AWS Benutzer-ID des Beauftragten entsprechen. Diese Identitätsrichtlinie ist dem IAM Benutzer zugeordnet, der den Vorgang aufruft.CreateSessionAPI Diese Richtlinie ermöglicht es dem Beauftragten auch, mit den AWS Glue interaktiven Sitzungsressourcen zu interagieren, die mit einem „Eigentümer“ -Tag und einem Wert erstellt wurden, der seiner AWS Benutzer-ID entspricht. Diese Richtlinie verweigert die Berechtigung zum Ändern oder Entfernen von „Eigentümer“-Tags einer AWS GlueSitzungsressource nach dem Erstellen der Sitzung.Anmerkung
Um die vollen Sicherheitsvorteile zu erzielen, gewähren Sie diese Richtlinie nicht einem Benutzer, dem die
AWSGlueServiceRole,AWSGlueConsoleFullAccess, oderAWSGlueConsoleSageMakerNotebookFullAccess-Richtlinie zugewiesen wurde. -
AwsGlueSessionUserRestrictedNotebookServiceRole
— Bietet ausreichend Zugriff auf die AWS Glue Studio Notebook-Sitzung, um mit bestimmten AWS Glue interaktiven Sitzungsressourcen zu interagieren. Dabei handelt es sich um Ressourcen, die mit dem Tag-Wert „owner“ erstellt wurden, der der AWS Benutzer-ID des Prinzipals (IAMBenutzer oder Rolle) entspricht, der das Notizbuch erstellt. Weitere Informationen zu diesen Tags finden Sie in der Tabelle mit den Hauptschlüsselwerten im IAMBenutzerhandbuch. Diese Servicerollenrichtlinie ist der Rolle zugeordnet, die mit einem magischen Befehl im Notizbuch angegeben oder als Rolle an den
CreateSessionAPI Vorgang übergeben wird. Diese Richtlinie ermöglicht es dem Prinzipal außerdem, nur dann eine AWS Glue interaktive Sitzung über die AWS Glue Studio Notebook-Oberfläche zu erstellen, wenn der Tag-Schlüssel „owner“ und der Wert mit der AWS Benutzer-ID des Principals übereinstimmen. Diese Richtlinie verweigert die Berechtigung zum Ändern oder Entfernen von „Eigentümer“-Tags einer AWS GlueSitzungsressource nach dem Erstellen der Sitzung. Diese Richtlinie umfasst auch Berechtigungen zum Schreiben und Lesen aus Amazon S3 S3-Buckets, zum Schreiben von CloudWatch Protokollen und zum Erstellen und Löschen von Tags für EC2 Amazon-Ressourcen, die von AWS Glue verwendet werden.Anmerkung
Um die vollen Sicherheitsvorteile zu erzielen, gewähren Sie diese Richtlinie nicht einer Rolle, welcher die
AWSGlueServiceRole,AWSGlueConsoleFullAccess, oderAWSGlueConsoleSageMakerNotebookFullAccess-Richtlinie zugewiesen wurde. -
AwsGlueSessionUserRestrictedNotebookPolicy
— Ermöglicht den Zugriff auf die Erstellung einer AWS Glue interaktiven Sitzung über die AWS Glue Studio Notebook-Oberfläche nur, wenn es einen Tag-Schlüssel „Besitzer“ und einen Wert gibt, die dem AWS Benutzer und IDof dem Prinzipal (IAMBenutzer oder Rolle) entsprechen, der das Notizbuch erstellt. Weitere Informationen zu diesen Tags finden Sie in der Tabelle mit den wichtigsten Schlüsselwerten im IAMBenutzerhandbuch. Diese Richtlinie ist dem Prinzipal (IAMBenutzer oder Rolle) zugeordnet, der Sitzungen über die AWS Glue Studio Notebook-Oberfläche erstellt. Diese Richtlinie ermöglicht auch ausreichenden Zugriff auf das AWS Glue Studio-Notebook, um mit bestimmten interaktiven Sitzungsressourcen von AWS Glue zu interagieren. Dabei handelt es sich um Ressourcen, die mit dem Tag-Wert „owner“ erstellt wurden, der der AWS Benutzer-ID des Prinzipals entspricht. Diese Richtlinie verweigert die Berechtigung zum Ändern oder Entfernen von „Eigentümer“-Tags einer AWS GlueSitzungsressource nach dem Erstellen der Sitzung.
-
AWSGlueServiceNotebookRole
— Gewährt Zugriff auf AWS Glue Sitzungen, die in einem AWS Glue Studio Notizbuch gestartet wurden. Diese Richtlinie ermöglicht das Auflisten und Abrufen von Sitzungsinformationen für alle Sitzungen, erlaubt Benutzern jedoch nur, Sitzungen zu erstellen und zu verwenden, die mit ihrer AWS Benutzer-ID gekennzeichnet sind. Diese Richtlinie verweigert die Erlaubnis, „Besitzer“ -Tags aus AWS Glue Sitzungsressourcen zu ändern oder zu entfernen, die mit ihrer AWS ID gekennzeichnet sind. Weisen Sie diese Richtlinie dem AWS Benutzer zu, der Jobs über die Notebook-Oberfläche in AWS Glue Studio erstellt.
-
AWSGlueConsoleSageMakerNotebookFullAccess
— Gewährt vollen Zugriff auf AWS Glue und SageMaker Ressourcen, wenn die Identität, an die die Richtlinie angehängt ist, die verwendet AWS Management Console. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben Benutzer alle Konsolenfunktionalitäten. Diese Richtlinie gilt in der Regel für Benutzer der AWS Glue Konsole, die SageMaker Notizbücher verwalten. -
AWSGlueSchemaRegistryFullAccess
— Gewährt vollen Zugriff auf AWS Glue Schemaregistrierungsressourcen, wenn die Identität, an die die Richtlinie angehängt ist, das AWS Management Console Oder verwendet AWS CLI. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben Benutzer alle Konsolenfunktionalitäten. Diese Richtlinie wird in der Regel Benutzern der AWS Glue Konsole oder Benutzern zugewiesen AWS CLI , die die AWS Glue Schemaregistrierung verwalten. -
AWSGlueSchemaRegistryReadonlyAccess
— Gewährt schreibgeschützten Zugriff auf AWS Glue Schemaregistrierungsressourcen, wenn eine Identität, an die die Richtlinie angehängt ist, das AWS Management Console Oder verwendet. AWS CLI Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben Benutzer alle Konsolenfunktionalitäten. Diese Richtlinie wird in der Regel Benutzern der AWS Glue Konsole oder Benutzern der AWS CLI AWS Glue Schemaregistry zugewiesen.
Anmerkung
Sie können diese Berechtigungsrichtlinien überprüfen, indem Sie sich bei der IAM Konsole anmelden und dort nach bestimmten Richtlinien suchen.
Sie können auch Ihre eigenen benutzerdefinierten IAM Richtlinien erstellen, um Berechtigungen für AWS Glue-Aktionen und -Ressourcen zu gewähren. Sie können diese benutzerdefinierten Richtlinien an die IAM Benutzer oder Gruppen anhängen, die diese Berechtigungen benötigen.
AWS Glue in AWS verwaltete Richtlinien einbinden
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für AWS Glue an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS Feed auf der Seite mit dem Verlauf der AWS Glue-Dokumente.
| Änderung | Beschreibung | Datum |
|---|---|---|
| AwsGlueSessionUserRestrictedPolicy — Geringfügige Aktualisierung einer bestehenden Richtlinie. | Fügen Sie „glue:TagResourceAktion zulassen“ für den Besitzer-Tag-Schlüssel hinzu. Erforderlich für die Unterstützung von tag-on-create On-For-Sitzungen mit dem Eigentümer-Tag-Schlüssel. |
5. August 2024 |
| AwsGlueSessionUserRestrictedServiceRole — Kleinere Aktualisierung einer bestehenden Richtlinie. | Fügen Sie „glue:TagResourceAktion zulassen“ für den Besitzer-Tag-Schlüssel hinzu. Erforderlich für die Unterstützung von tag-on-create On-For-Sitzungen mit dem Eigentümer-Tag-Schlüssel. |
5. August 2024 |
| AwsGlueSessionUserRestrictedPolicy — Kleinere Aktualisierung einer bestehenden Richtlinie. | Fügen Sie glue:StartCompletion und glue:GetCompletion zur Richtlinie hinzu. Erforderlich für die Amazon Q-Datenintegration in AWS Glue. |
30. April 2024 |
| AwsGlueSessionUserRestrictedNotebookServiceRole — Geringfügige Aktualisierung einer bestehenden Richtlinie. | Fügen Sie glue:StartCompletion und glue:GetCompletion zur Richtlinie hinzu. Erforderlich für die Amazon Q-Datenintegration in AWS Glue. |
30. April 2024 |
| AwsGlueSessionUserRestrictedServiceRole — Geringfügige Aktualisierung einer bestehenden Richtlinie. | Fügen Sie glue:StartCompletion und glue:GetCompletion zur Richtlinie hinzu. Erforderlich für die Amazon Q-Datenintegration in AWS Glue. |
30. April 2024 |
| AWSGlueServiceNotebookRole— Geringfügige Aktualisierung einer bestehenden Richtlinie. | Fügen Sie glue:StartCompletion und glue:GetCompletion zur Richtlinie hinzu. Erforderlich für die Amazon Q-Datenintegration in AWS Glue. |
30. Januar 2024 |
| AwsGlueSessionUserRestrictedNotebookPolicy — Kleinere Aktualisierung einer bestehenden Richtlinie. | Fügen Sie glue:StartCompletion und glue:GetCompletion zur Richtlinie hinzu. Erforderlich für die Amazon Q-Datenintegration in AWS Glue. |
29. November 2023 |
| AWSGlueServiceNotebookRole— Geringfügige Aktualisierung einer bestehenden Richtlinie. | Fügen Sie codewhisperer:GenerateRecommendations zur Richtlinie hinzu. Erforderlich für eine neue Funktion, bei der AWS Glue CodeWhisperer Empfehlungen generiert. |
9. Oktober 2023 |
|
AWSGlueServiceRole— Geringfügiges Update einer bestehenden Richtlinie. |
Beschränken Sie den Umfang der CloudWatch Berechtigungen, um die AWS Glue-Protokollierung besser widerzuspiegeln. | 04. August 2023 |
|
AWSGlueConsoleFullAccess— Geringfügige Aktualisierung einer bestehenden Richtlinie. |
Fügen Sie der Richtlinie databrew-Rezeptlisten- und Beschreibungsberechtigungen hinzu. Erforderlich, um vollen Administratorzugriff für neue Funktionen bereitzustellen, mit denen AWS Glue auf Rezepte zugreifen kann. |
09. Mai 2023 |
|
AWSGlueConsoleFullAccess— Geringfügige Aktualisierung einer bestehenden Richtlinie. |
Fügen Sie cloudformation:ListStacks zur Richtlinie hinzu. Behält die vorhandenen Funktionen nach Änderungen der AWS CloudFormation Autorisierungsanforderungen bei. |
28. März 2023 |
|
Neue verwaltete Richtlinien für das Interactive-Sessions-Feature hinzugefügt
|
Diese Richtlinien wurden entwickelt, um zusätzliche Sicherheit für Interactive Sessions und Notebooks in AWS Glue Studio zu bieten. Die Richtlinien beschränken den Zugriff auf den |
30. November 2021 |
|
AWSGlueConsoleSageMakerNotebookFullAccess – Aktualisierung auf eine bestehende Richtlinie. |
Eine redundante Ressource ARN ( Ein Syntaxproblem wurde behoben, indem |
15. Juli 2021 |
|
AWSGlueConsoleFullAccess – Aktualisierung auf eine bestehende Richtlinie. |
Eine redundante Ressource ARN (arn:aws:s3:::aws-glue-*/*) für die Aktion, die Lese-/Schreibberechtigungen für Amazon S3 S3-Buckets gewährt, wurde entfernt, die zum Speichern von Skripten und temporären Dateien AWS Glue verwendet wird. |
15. Juli 2021 |
|
AWS Glue hat die Änderungsverfolgung gestartet. |
AWS Gluehat begonnen, Änderungen für die verwalteten Richtlinien zu verfolgen. AWS | 10. Juni 2021 |
