Pemberian kebijakan AWS terkelola untuk AWS Glue - AWS Glue
AWS kebijakan terkelola (standar) untuk AWS GluePembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemberian kebijakan AWS terkelola untuk AWS Glue

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

AWS kebijakan terkelola (standar) untuk AWS Glue

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan IAM kebijakan mandiri yang dibuat dan dikelola oleh AWS. Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari keharusan menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke identitas di akun Anda, khusus untuk AWS Glue dan dikelompokkan berdasarkan skenario kasus penggunaan:

  • AWSGlueConsoleFullAccess— Memberikan akses penuh ke AWS Glue sumber daya ketika identitas yang dilampirkan kebijakan menggunakan AWS Management Console. Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan pada pengguna AWS Glue konsol.

  • AWSGlueServiceRole— Memberikan akses ke sumber daya yang beragam AWS Glue proses harus dijalankan atas nama Anda. Sumber daya ini termasuk AWS Glue, Amazon S3,, CloudWatch LogIAM, dan Amazon. EC2 Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, AWS Glue proses memiliki izin yang diperlukan. Kebijakan ini biasanya dilampirkan pada peran yang ditentukan saat menentukan crawler, tugas, dan titik akhir pengembangan.

  • AwsGlueSessionUserRestrictedServiceRole— Menyediakan akses penuh ke semua AWS Glue sumber daya kecuali untuk sesi. Hal ini memungkinkan pengguna untuk membuat dan menggunakan hanya sesi interaktif yang terkait dengan pengguna. Kebijakan ini mencakup izin lain yang diperlukan oleh AWS Glue untuk mengelola AWS Glue sumber daya dalam AWS layanan lain. Kebijakan ini juga memungkinkan penambahan tag ke AWS Glue sumber daya dalam AWS layanan lain.

    catatan

    Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini kepada pengguna yang ditugaskanAWSGlueServiceRole,AWSGlueConsoleFullAccess, atau AWSGlueConsoleSageMakerNotebookFullAccess kebijakan.

  • AwsGlueSessionUserRestrictedPolicy— Menyediakan akses untuk membuat AWS Glue sesi interaktif menggunakan CreateSession API operasi hanya jika kunci tag “pemilik” dan nilai yang cocok dengan ID AWS pengguna penerima tugas disediakan. Kebijakan identitas ini dilampirkan ke IAM pengguna yang memanggil CreateSession API operasi. Kebijakan ini juga memungkinkan penerima untuk berinteraksi dengan AWS Glue sumber daya sesi interaktif yang dibuat dengan tag “pemilik” dan nilai yang cocok dengan ID AWS pengguna mereka. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari AWS Glue sumber daya sesi setelah sesi dibuat.

    catatan

    Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini kepada pengguna yang ditugaskanAWSGlueServiceRole,AWSGlueConsoleFullAccess, atau AWSGlueConsoleSageMakerNotebookFullAccess kebijakan.

  • AwsGlueSessionUserRestrictedNotebookServiceRole— Memberikan akses yang cukup ke AWS Glue Studio sesi notebook untuk berinteraksi dengan spesifik AWS Glue sumber daya sesi interaktif. Ini adalah sumber daya yang dibuat dengan nilai tag “pemilik” yang cocok dengan ID AWS pengguna prinsipal (IAMpengguna atau peran) yang membuat buku catatan. Untuk informasi selengkapnya tentang tag ini, lihat bagan Nilai kunci utama di Panduan IAM Pengguna.

    Kebijakan peran layanan ini dilampirkan pada peran yang ditentukan dengan perintah ajaib di dalam buku catatan atau diteruskan sebagai peran ke operasi. CreateSession API Kebijakan ini juga memungkinkan kepala sekolah untuk membuat AWS Glue sesi interaktif dari AWS Glue Studio antarmuka notebook hanya jika kunci tag “pemilik” dan nilai cocok dengan ID AWS pengguna prinsipal. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari AWS Glue sumber daya sesi setelah sesi dibuat. Kebijakan ini juga mencakup izin untuk menulis dan membaca dari bucket Amazon S3, CloudWatch menulis log, serta membuat serta menghapus tag untuk EC2 sumber daya Amazon yang digunakan oleh AWS Glue.

    catatan

    Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini untuk peran yang ditugaskanAWSGlueServiceRole,AWSGlueConsoleFullAccess, atau AWSGlueConsoleSageMakerNotebookFullAccess kebijakan.

  • AwsGlueSessionUserRestrictedNotebookPolicy— Menyediakan akses untuk membuat AWS Glue sesi interaktif dari AWS Glue Studio antarmuka notebook hanya jika ada kunci tag “pemilik” dan nilai yang cocok dengan AWS pengguna IDof prinsipal (IAMpengguna atau peran) yang membuat buku catatan. Untuk informasi selengkapnya tentang tag ini, lihat bagan Nilai kunci utama di Panduan IAM Pengguna.

    Kebijakan ini dilampirkan pada prinsipal (IAMpengguna atau peran) yang membuat sesi dari AWS Glue Studio antarmuka notebook. Kebijakan ini juga memungkinkan akses yang memadai ke AWS Glue Studio notebook untuk berinteraksi dengan spesifik AWS Glue sumber daya sesi interaktif. Ini adalah sumber daya yang dibuat dengan nilai tag “pemilik” yang cocok dengan ID AWS pengguna prinsipal. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari AWS Glue sumber daya sesi setelah sesi dibuat.

  • AWSGlueServiceNotebookRole— Memberikan akses ke AWS Glue Sesi dimulai pada sebuah AWS Glue Studio buku catatan. Kebijakan ini memungkinkan daftar dan mendapatkan informasi sesi untuk semua sesi, tetapi hanya mengizinkan pengguna untuk membuat dan menggunakan sesi yang ditandai dengan ID AWS pengguna mereka. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari AWS Glue sumber daya sesi ditandai dengan AWS ID mereka.

    Tetapkan kebijakan ini kepada AWS pengguna yang membuat lowongan menggunakan antarmuka notebook di AWS Glue Studio.

  • AWSGlueConsoleSageMakerNotebookFullAccess— Memberikan akses penuh ke sumber daya AWS Glue dan SageMaker AI ketika identitas yang dilampirkan kebijakan menggunakan. AWS Management Console Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan pada pengguna AWS Glue konsol yang mengelola notebook SageMaker AI.

  • AWSGlueSchemaRegistryFullAccess— Memberikan akses penuh ke AWS Glue Sumber daya Schema Registry ketika identitas yang dilampirkan kebijakan menggunakan AWS Management Console atau AWS CLI. Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan pada pengguna AWS Glue konsol atau AWS CLI siapa yang mengelola AWS Glue Registri Skema.

  • AWSGlueSchemaRegistryReadonlyAccess— Memberikan akses hanya-baca ke AWS Glue Sumber daya Schema Registry ketika identitas yang dilampirkan kebijakan menggunakan AWS Management Console atau AWS CLI. Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan pada pengguna AWS Glue konsol atau AWS CLI yang menggunakan AWS Glue Registri Skema.

catatan

Anda dapat meninjau kebijakan izin ini dengan masuk ke konsol IAM dan mencari kebijakan tertentu di situ.

Anda juga dapat membuat IAM kebijakan kustom Anda sendiri untuk mengizinkan izin untuk tindakan dan sumber daya AWS Glue. Anda dapat menyematkan kebijakan khusus ini untuk pengguna atau grup IAM yang memerlukan izin tersebut.

AWS Glue update ke kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS AWS terkelola untuk Glue sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di halaman riwayat AWS Glue Document.

Perubahan Deskripsi Tanggal
AwsGlueSessionUserRestrictedNotebookPolicy — Pembaruan kecil untuk kebijakan yang ada. Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create Agustus 30, 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create Agustus 30, 2024
AwsGlueSessionUserRestrictedPolicy — Pembaruan kecil untuk kebijakan yang ada. Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create Agustus 5, 2024
AwsGlueSessionUserRestrictedServiceRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create Agustus 5, 2024
AwsGlueSessionUserRestrictedPolicy — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. April 30, 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. April 30, 2024
AwsGlueSessionUserRestrictedServiceRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. April 30, 2024
AWSGlueServiceNotebookRole— Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. 30 Jan 2024
AwsGlueSessionUserRestrictedNotebookPolicy — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. Nov 29, 2023
AWSGlueServiceNotebookRole— Pembaruan kecil untuk kebijakan yang ada. Tambahkan codewhisperer:GenerateRecommendations ke kebijakan. Diperlukan untuk fitur baru di mana AWS Glue menghasilkan CodeWhisperer rekomendasi. Okt 9, 2023

AWSGlueServiceRole— Pembaruan kecil untuk kebijakan yang ada.

 Kencangkan ruang lingkup CloudWatch izin untuk lebih mencerminkan logging AWS Glue. Agustus 4, 2023

AWSGlueConsoleFullAccess— Pembaruan kecil untuk kebijakan yang ada.

 Tambahkan Daftar databrew resep dan Jelaskan izin ke kebijakan. Diperlukan untuk menyediakan akses administratif penuh untuk fitur-fitur baru di mana AWS Glue dapat mengakses resep. 9 Mei 2023

AWSGlueConsoleFullAccess— Pembaruan kecil untuk kebijakan yang ada.

 Tambahkan cloudformation:ListStacks ke kebijakan. Mempertahankan kemampuan yang ada setelah perubahan persyaratan AWS CloudFormation otorisasi. 28 Maret 2023

Kebijakan terkelola baru ditambahkan untuk fitur sesi interaktif:

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRole

  • AwsGlueSessionUserRestrictedNotebookPolicy

Kebijakan ini dirancang untuk memberikan keamanan tambahan untuk sesi interaktif dan notebook di AWS Glue Studio. Kebijakan membatasi akses ke CreateSession API operasi sehingga hanya pemilik yang memiliki akses.

 30 November 2021

AWSGlueConsoleSageMakerNotebookFullAccess— Perbarui ke kebijakan yang ada.

Menghapus resource redundan ARN (arn:aws:s3:::aws-glue-*/*) untuk tindakan yang memberikan izin baca/tulis di bucket Amazon S3 yang AWS Glue digunakan untuk menyimpan skrip dan file sementara.

Perbaikan masalah sintaksis dengan mengubah "StringEquals" menjadi "ForAnyValue:StringLike", dan memindahkan baris "Effect": "Allow" sehingga berada di depan baris "Action": saat urutan mereka tidak sebagaimana mestinya.

 15 Juli 2021

AWSGlueConsoleFullAccess— Perbarui ke kebijakan yang ada.

 Menghapus resource redundan ARN (arn:aws:s3:::aws-glue-*/*) untuk tindakan yang memberikan izin baca/tulis di bucket Amazon S3 yang AWS Glue digunakan untuk menyimpan skrip dan file sementara. 15 Juli 2021

AWS Glue mulai melacak perubahan.

 AWS Glue mulai melacak perubahan untuk kebijakan yang AWS dikelola. 10 Juni 2021