Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Meninjau IAM izin yang diperlukan untuk pengguna AWS Glue Studio
Untuk menggunakannyaAWS Glue Studio, pengguna harus memiliki akses ke berbagai AWS sumber daya. Pengguna harus dapat melihat dan memilih bucket Amazon S3, IAM kebijakan dan peran, serta objek. AWS Glue Data Catalog
Izin layanan AWS Glue
AWS Glue Studiomenggunakan tindakan dan sumber daya AWS Glue layanan. Pengguna Anda memerlukan izin pada tindakan dan sumber daya ini untuk digunakan AWS Glue Studio secara efektif. Anda dapat memberi AWS Glue Studio pengguna kebijakan AWSGlueConsoleFullAccess terkelola, atau membuat kebijakan khusus dengan sekumpulan izin yang lebih kecil.
penting
Sesuai praktik keamanan terbaik, disarankan untuk membatasi akses dengan memperketat kebijakan untuk lebih membatasi akses ke bucket Amazon S3 dan grup log Amazon CloudWatch . Misalnya kebijakan Amazon S3, lihat IAMKebijakan Penulisan: Cara Memberikan Akses ke Bucket Amazon S3
Membuat IAM Kebijakan Kustom untuk AWS Glue Studio
Anda dapat membuat kebijakan kustom dengan sekumpulan izin yang lebih kecil untukAWS Glue Studio. Kebijakan dapat memberikan izin untuk subset objek atau tindakan. Gunakan informasi berikut saat membuat kebijakan khusus.
Untuk menggunakan AWS Glue StudioAPIs, sertakan glue:UseGlueStudio dalam kebijakan tindakan dalam IAM izin Anda. Menggunakan glue:UseGlueStudio akan memungkinkan Anda untuk mengakses semua AWS Glue Studio tindakan bahkan ketika lebih banyak tindakan ditambahkan API ke waktu.
Untuk informasi selengkapnya tentang tindakan yang ditentukan oleh AWS Glue, lihat Tindakan yang ditentukan oleh AWS Glue.
Persiapan data pembuatan Tindakan
-
SendRecipeAction
-
GetRecipeAction
Grafik asiklik terarah () Tindakan DAG
-
CreateDag
-
UpdateDag
-
GetDag
-
DeleteDag
Aksi Job
-
SaveJob
-
GetJob
-
CreateJob
-
DeleteJob
-
GetJobs
-
UpdateJob
Job run Actions
-
StartJobRun
-
GetJobRuns
-
BatchStopJobRun
-
GetJobRun
-
QueryJobRuns
-
QueryJobs
-
QueryJobRunsAggregated
Tindakan Skema
-
GetSchema
-
GetInferredSchema
Tindakan Database
-
GetDatabases
Rencanakan Tindakan
-
GetPlan
Tindakan Tabel
-
SearchTables
-
GetTables
-
GetTable
Tindakan Koneksi
-
CreateConnection
-
DeleteConnection
UpdateConnection
-
GetConnections
-
GetConnection
Tindakan Pemetaan
-
GetMapping
Tindakan Proksi S3
-
ListBuckets
-
ListObjectsV2
-
GetBucketLocation
Tindakan Konfigurasi Keamanan
-
GetSecurityConfigurations
Tindakan Skrip
-
CreateScript (berbeda dari API nama yang sama diAWS Glue)
Mengakses AWS Glue Studio APIs
Untuk mengaksesAWS Glue Studio, tambahkan glue:UseGlueStudio daftar kebijakan tindakan di IAM izin.
Dalam contoh di bawah glue:UseGlueStudio ini, termasuk dalam kebijakan tindakan, tetapi tidak AWS Glue Studio APIs diidentifikasi secara individual. Itu karena ketika Anda menyertakanglue:UseGlueStudio, Anda secara otomatis diberikan akses ke internal APIs tanpa harus menentukan individu AWS Glue Studio APIs dalam IAM izin.
Dalam contoh, kebijakan tindakan tambahan yang terdaftar (misalnya,glue:SearchTables) tidak AWS Glue StudioAPIs, jadi kebijakan tersebut harus disertakan dalam IAM izin sesuai kebutuhan. Anda mungkin juga ingin menyertakan tindakan Proxy Amazon S3 untuk menentukan tingkat akses Amazon S3 yang akan diberikan. Contoh kebijakan di bawah ini menyediakan akses untuk membukaAWS Glue Studio, membuat pekerjaan visual, dan menyimpan/menjalankannya jika IAM peran yang dipilih memiliki akses yang memadai.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "glue:UseGlueStudio", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "glue:SearchTables", "glue:GetConnections", "glue:GetJobs", "glue:GetTables", "glue:BatchStopJobRun", "glue:GetSecurityConfigurations", "glue:DeleteJob", "glue:GetDatabases", "glue:CreateConnection", "glue:GetSchema", "glue:GetTable", "glue:GetMapping", "glue:CreateJob", "glue:DeleteConnection", "glue:CreateScript", "glue:UpdateConnection", "glue:GetConnection", "glue:StartJobRun", "glue:GetJobRun", "glue:UpdateJob", "glue:GetPlan", "glue:GetJobRuns", "glue:GetTags", "glue:GetJob", "glue:QueryJobRuns", "glue:QueryJobs", "glue:QueryJobRunsAggregated", "glue:SendRecipeAction", "glue:GetRecipeAction" ], "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] }
Izin buku catatan dan pratinjau data
Pratinjau data dan notebook memungkinkan Anda untuk melihat sampel data Anda pada setiap tahap pekerjaan Anda (membaca, mengubah, menulis), tanpa harus menjalankan pekerjaan. Anda menentukan peran AWS Identity and Access Management (IAM) AWS Glue Studio untuk digunakan saat mengakses data. IAMperan dimaksudkan untuk diasumsikan dan tidak memiliki kredensi jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebaliknya, ketika AWS Glue Studio mengambil peran, IAM berikan kredensi keamanan sementara.
Untuk memastikan pratinjau data dan perintah notebook berfungsi dengan benar, gunakan peran yang memiliki nama yang dimulai dengan stringAWSGlueServiceRole. Jika Anda memilih untuk menggunakan nama yang berbeda untuk peran Anda, Anda harus menambahkan iam:passrole izin dan mengonfigurasi kebijakan untuk peran tersebutIAM. Untuk informasi selengkapnya, lihat Buat kebijakan IAM untuk peran yang tidak diberi nama "AWSGlueServiceRole*”.
Awas
Jika peran memberikan iam:passrole izin untuk buku catatan, dan Anda menerapkan rantai peran, pengguna dapat secara tidak sengaja mendapatkan akses ke buku catatan tersebut. Saat ini tidak ada audit yang diterapkan yang akan memungkinkan Anda untuk memantau pengguna mana yang telah diberikan akses ke notebook.
Jika Anda ingin menolak IAM identitas kemampuan untuk membuat sesi pratinjau data, lihat contoh berikutMenolak identitas kemampuan untuk membuat sesi pratinjau data.
Izin Amazon CloudWatch
Anda dapat memantau AWS Glue Studio pekerjaan Anda menggunakan Amazon CloudWatch, yang mengumpulkan dan memproses data mentah dari AWS Glue menjadi metrik yang dapat dibaca. near-real-time Secara default, data AWS Glue metrik dikirim secara CloudWatch otomatis. Untuk informasi selengkapnya, lihat Apa itu Amazon CloudWatch? di Panduan CloudWatch Pengguna Amazon, dan AWS GlueMetrik di Panduan AWS Glue Pengembang.
Untuk mengakses CloudWatch dasbor, pengguna yang mengakses AWS Glue Studio memerlukan salah satu dari yang berikut:
-
Kebijakan
AdministratorAccess -
Kebijakan
CloudWatchFullAccess -
Kebijakan kustom yang mencakup satu atau beberapa izin spesifik tersebut:
-
cloudwatch:GetDashboarddancloudwatch:ListDashboardsuntuk melihat dasbor -
cloudwatch:PutDashboarduntuk membuat atau memodifikasi dasbor -
cloudwatch:DeleteDashboardsuntuk menghapus dasbor
-
Untuk informasi selengkapnya tentang mengubah izin bagi IAM pengguna yang menggunakan kebijakan, lihat Mengubah Izin untuk IAM Pengguna di Panduan IAM Pengguna.
