Octroi de politiques AWS gérées pour AWS Glue - AWS Glue

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi de politiques AWS gérées pour AWS Glue

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d'informations, consultez la section Politiques AWS gérées dans le Guide de IAM l'utilisateur.

AWS politiques gérées (prédéfinies) pour AWS Glue

AWS répond à de nombreux cas d'utilisation courants en fournissant des IAM politiques autonomes créées et administrées par AWS. Ces politiques AWS gérées accordent les autorisations nécessaires pour les cas d'utilisation courants afin que vous puissiez éviter d'avoir à rechercher les autorisations nécessaires. Pour plus d'informations, consultez la section Politiques AWS gérées dans le Guide de IAM l'utilisateur.

Les politiques AWS gérées suivantes, que vous pouvez associer aux identités de votre compte, sont spécifiques à chaque scénario d'utilisation AWS Glue et sont regroupées par scénario d'utilisation :

  • AWSGlueConsoleFullAccess— Accorde un accès complet aux AWS Glue ressources lorsqu'une identité à laquelle la politique est attachée utilise le AWS Management Console. Si vous suivez la convention de dénomination pour les ressources spécifiées dans la politique, les utilisateurs bénéficient des capacités totales de la console. Cette politique est généralement attachée aux utilisateurs de la console AWS Glue.

  • AWSGlueServiceRole— Accorde l'accès aux ressources dont AWS Glue les différents processus ont besoin pour s'exécuter en votre nom. Ces ressources incluent AWS Glue Amazon S3IAM, CloudWatch Logs et AmazonEC2. Si vous suivez la convention de dénomination des ressources spécifiées dans la politique, les processus AWS Glue ont les autorisations requises. Cette politique est généralement attachée aux rôles spécifiés lorsque vous définissez les crawlers, les tâches et les points de terminaison de développement.

  • AwsGlueSessionUserRestrictedServiceRole— Fournit un accès complet à toutes les AWS Glue ressources, à l'exception des sessions. Elle permet aux utilisateurs de créer et d'utiliser uniquement les séances interactives associées à l'utilisateur. Cette politique inclut les autres autorisations nécessaires AWS Glue pour gérer les AWS Glue ressources d'autres AWS services. La politique permet également d'ajouter des balises aux AWS Glue ressources d'autres AWS services.

    Note

    Pour bénéficier de tous les avantages de la sécurité, n'accordez pas cette politique à un utilisateur qui a reçu la politique AWSGlueServiceRole, AWSGlueConsoleFullAccess, ou AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedPolicy— Permet de créer des sessions AWS Glue interactives à l'aide de l'CreateSessionAPIopération uniquement si une clé de balise « propriétaire » et une valeur correspondant à l'ID AWS utilisateur du destinataire sont fournies. Cette politique d'identité est attachée à l'IAMutilisateur qui appelle l'CreateSessionAPIopération. Cette politique permet également à la personne assignée d'interagir avec les ressources de session AWS Glue interactives créées avec une balise « propriétaire » et une valeur correspondant à son ID AWS utilisateur. Cette politique refuse l'autorisation de modifier ou de supprimer les balises « propriétaire » d'une ressource AWS Glue de séance après la création de la séance.

    Note

    Pour bénéficier de tous les avantages de la sécurité, n'accordez pas cette politique à un utilisateur qui a reçu la politique AWSGlueServiceRole, AWSGlueConsoleFullAccess, ou AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedNotebookServiceRole— Fournit un accès suffisant à la session du AWS Glue Studio bloc-notes pour interagir avec des ressources de session AWS Glue interactives spécifiques. Il s'agit de ressources créées avec la valeur de balise « owner » qui correspond à l'ID AWS utilisateur du principal (IAMutilisateur ou rôle) qui crée le bloc-notes. Pour plus d'informations sur ces balises, consultez le tableau des principales valeurs clés du Guide de l'IAMutilisateur.

    Cette politique de rôle de service est attachée au rôle qui est spécifié à l'aide d'une commande magique dans le bloc-notes ou qui est transmise en tant que rôle à l'CreateSessionAPIopération. Cette politique permet également au principal de créer une session AWS Glue interactive à partir de l'interface du AWS Glue Studio bloc-notes uniquement si la clé de balise « propriétaire » et la valeur correspondent à AWS l'ID utilisateur du principal. Cette politique refuse l'autorisation de modifier ou de supprimer les balises « propriétaire » d'une ressource AWS Glue de séance après la création de la séance. Cette politique inclut également les autorisations d'écriture et de lecture à partir de compartiments Amazon S3, de rédaction de CloudWatch journaux, ainsi que de création et de suppression de balises pour les EC2 ressources Amazon utilisées parAWS Glue.

    Note

    Pour obtenir tous les avantages en matière de sécurité, n'accordez pas cette politique à un rôle qui a été attribué à la politique AWSGlueServiceRole, AWSGlueConsoleFullAccess, ou AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedNotebookPolicy— Permet de créer une session AWS Glue interactive à partir de l'interface du AWS Glue Studio bloc-notes uniquement s'il existe une clé de balise « propriétaire » et une valeur correspondant à IDof l' AWS utilisateur principal (IAMutilisateur ou rôle) qui crée le bloc-notes. Pour plus d'informations sur ces balises, consultez le tableau des principales valeurs clés du Guide de l'IAMutilisateur.

    Cette politique est attachée au principal (IAMutilisateur ou rôle) qui crée les sessions à partir de l'interface du AWS Glue Studio bloc-notes. Cette politique permet également un accès suffisant au bloc-notes AWS Glue Studio pour interagir avec des ressources de séances interactives AWS Glue spécifiques. Il s'agit de ressources créées avec la valeur de balise « owner » qui correspond à AWS l'ID utilisateur du principal. Cette politique refuse l'autorisation de modifier ou de supprimer les balises « propriétaire » d'une ressource AWS Glue de séance après la création de la séance.

  • AWSGlueServiceNotebookRole— Accorde l'accès aux AWS Glue sessions démarrées dans un AWS Glue Studio bloc-notes. Cette politique permet de répertorier et d'obtenir des informations de session pour toutes les sessions, mais permet uniquement aux utilisateurs de créer et d'utiliser les sessions étiquetées avec leur ID AWS utilisateur. Cette politique refuse l'autorisation de modifier ou de supprimer les balises « propriétaire » des ressources de AWS Glue session étiquetées avec leur AWS ID.

    Attribuez cette politique à l' AWS utilisateur qui crée des tâches à l'aide de l'interface du bloc-notes dansAWS Glue Studio.

  • AWSGlueConsoleSageMakerNotebookFullAccess— Accorde un accès complet à AWS Glue et aux SageMaker ressources lorsque l'identité à laquelle la politique est attachée utilise le AWS Management Console. Si vous suivez la convention de dénomination pour les ressources spécifiées dans la politique, les utilisateurs bénéficient des capacités totales de la console. Cette politique s'applique généralement aux utilisateurs de la AWS Glue console qui gèrent les SageMaker blocs-notes.

  • AWSGlueSchemaRegistryFullAccess— Accorde un accès complet aux ressources du registre des AWS Glue schémas lorsque l'identité à laquelle la politique est attachée utilise le AWS Management Console ou AWS CLI. Si vous suivez la convention de dénomination pour les ressources spécifiées dans la politique, les utilisateurs bénéficient des capacités totales de la console. Cette politique est généralement attachée aux utilisateurs de la AWS Glue console ou aux utilisateurs AWS CLI qui gèrent le registre des AWS Glue schémas.

  • AWSGlueSchemaRegistryReadonlyAccess— Accorde un accès en lecture seule aux ressources du registre des AWS Glue schémas lorsqu'une identité à laquelle la politique est attachée utilise le AWS Management Console ou. AWS CLI Si vous suivez la convention de dénomination pour les ressources spécifiées dans la politique, les utilisateurs bénéficient des capacités totales de la console. Cette politique s'applique généralement aux utilisateurs de la AWS Glue console ou à AWS CLI ceux qui utilisent le registre des AWS Glue schémas.

Note

Vous pouvez consulter ces politiques d'autorisation en vous connectant à la IAM console et en y recherchant des politiques spécifiques.

Vous pouvez également créer vos propres IAM politiques personnalisées pour autoriser les actions et les ressources de AWS Glue. Vous pouvez associer ces politiques personnalisées aux IAM utilisateurs ou aux groupes qui ont besoin de ces autorisations.

AWS Glue les mises à jour dans les politiques AWS gérées

Consultez les détails des mises à jour apportées aux politiques AWS gérées pour AWS Glue depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS flux sur la page d'historique de AWS Glue Document.

Modification Description Date
AwsGlueSessionUserRestrictedNotebookPolicy — Mise à jour mineure d'une politique existante. Ajoutez une autorisation d'glue:TagResourceaction sur la clé du tag du propriétaire. Nécessaire tag-on-create pour la prise en charge des sessions avec clé d'identification du propriétaire. 30 août 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Mise à jour mineure d'une politique existante. Ajoutez une autorisation d'glue:TagResourceaction sur la clé du tag du propriétaire. Nécessaire tag-on-create pour la prise en charge des sessions avec clé d'identification du propriétaire. 30 août 2024
AwsGlueSessionUserRestrictedPolicy — Mise à jour mineure d'une politique existante. Ajoutez une autorisation d'glue:TagResourceaction sur la clé du tag du propriétaire. Nécessaire tag-on-create pour la prise en charge des sessions avec clé d'identification du propriétaire. 5 août 2024
AwsGlueSessionUserRestrictedServiceRole — Mise à jour mineure d'une politique existante. Ajoutez une autorisation d'glue:TagResourceaction sur la clé du tag du propriétaire. Nécessaire tag-on-create pour la prise en charge des sessions avec clé d'identification du propriétaire. 5 août 2024
AwsGlueSessionUserRestrictedPolicy — Mise à jour mineure d'une politique existante. Ajout de glue:StartCompletion et de glue:GetCompletion à la politique. Nécessaire pour l'intégration des données Amazon Q dans AWS Glue. 30 avril 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Mise à jour mineure d'une politique existante. Ajout de glue:StartCompletion et de glue:GetCompletion à la politique. Nécessaire pour l'intégration des données Amazon Q dans AWS Glue. 30 avril 2024
AwsGlueSessionUserRestrictedServiceRole — Mise à jour mineure d'une politique existante. Ajout de glue:StartCompletion et de glue:GetCompletion à la politique. Nécessaire pour l'intégration des données Amazon Q dans AWS Glue. 30 avril 2024
AWSGlueServiceNotebookRole— Mise à jour mineure d'une politique existante. Ajout de glue:StartCompletion et de glue:GetCompletion à la politique. Nécessaire pour l'intégration des données Amazon Q dans AWS Glue. 30 janvier 2024
AwsGlueSessionUserRestrictedNotebookPolicy — Mise à jour mineure d'une politique existante. Ajout de glue:StartCompletion et de glue:GetCompletion à la politique. Nécessaire pour l'intégration des données Amazon Q dans AWS Glue. 29 novembre 2023
AWSGlueServiceNotebookRole— Mise à jour mineure d'une politique existante. Ajouter une stratégie codewhisperer:GenerateRecommendations Nécessaire pour une nouvelle fonctionnalité dans laquelle AWS Glue génère CodeWhisperer des recommandations. 9 octobre 2023

AWSGlueServiceRole— Mise à jour mineure d'une politique existante.

Resserrez la portée des CloudWatch autorisations pour mieux refléter AWS la journalisation de Glue. 4 août 2023

AWSGlueConsoleFullAccess— Mise à jour mineure d'une politique existante.

Ajoutez les autorisations Lister et Décrire de la recette databrew à la stratégie. Nécessaire pour fournir un accès administratif complet aux nouvelles fonctionnalités permettant à AWS Glue d'accéder aux recettes. 9 mai 2023

AWSGlueConsoleFullAccess— Mise à jour mineure d'une politique existante.

Ajouter une stratégie cloudformation:ListStacks Préserve les fonctionnalités existantes après modification des exigences AWS CloudFormation d'autorisation. 28 mars 2023

Nouvelles politiques gérées ajoutées pour la fonctionnalité de séances interactives :

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRole

  • AwsGlueSessionUserRestrictedNotebookPolicy

Ces politiques ont été conçues pour fournir une sécurité supplémentaire pour les séances interactives et les blocs-notes dans AWS Glue Studio. Les politiques limitent l'accès à l'CreateSessionAPIopération afin que seul le propriétaire y ait accès.

30 novembre 2021

AWSGlueConsoleSageMakerNotebookFullAccess - Mettre à jour vers une politique existante.

Suppression d'une ressource redondante ARN (arn:aws:s3:::aws-glue-*/*) pour l'action qui accorde des autorisations de lecture/écriture sur les compartiments Amazon S3 AWS Glue utilisés pour stocker des scripts et des fichiers temporaires.

Correction d'un problème de syntaxe en remplaçant "StringEquals" par "ForAnyValue:StringLike", et changement de place des lignes "Effect": "Allow" pour qu'elles précèdent la ligne "Action": dans chaque endroit où elles n'étaient pas dans l'ordre.

15 juillet 2021

AWSGlueConsoleFullAccess - Mettre à jour vers une politique existante.

Suppression d'une ressource redondante ARN (arn:aws:s3:::aws-glue-*/*) pour l'action qui accorde des autorisations de lecture/écriture sur les compartiments Amazon S3 AWS Glue utilisés pour stocker des scripts et des fichiers temporaires. 15 juillet 2021

AWS Glue a démarré le suivi des modifications.

AWS Gluea commencé à suivre les modifications apportées AWS à ses politiques gérées. 10 juin 2021