Configurare le IAM autorizzazioni per AWS Glue Data Quality - AWS Glue
IAMautorizzazioniIAMconfigurazione richiesta per la pianificazione delle esecuzioni di valutazionePolitiche di esempio IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare le IAM autorizzazioni per AWS Glue Data Quality

Questo argomento fornisce informazioni per aiutarti a comprendere le azioni e le risorse che un IAM amministratore può utilizzare in una politica AWS Identity and Access Management (IAM) per AWS Glue Data Quality. Include anche IAM politiche di esempio con le autorizzazioni minime necessarie per utilizzare AWS Glue Data Quality con AWS Glue Data Catalog.

Per ulteriori informazioni sulla sicurezza in AWS Glue, vedereSicurezza in AWS Glue.

IAMautorizzazioni per AWS Glue Data Quality

La tabella seguente elenca le autorizzazioni richieste a un utente per eseguire operazioni di Qualità dei dati di AWS Glue specifiche. Per impostare un'autorizzazione dettagliata per AWS Glue Data Quality, puoi specificare queste azioni nell'Actionelemento di una IAM dichiarazione politica.

AWS Azioni di Glue Data Quality
Azione Descrizione Tipi di risorsa
glue:CreateDataQualityRuleset Concede l'autorizzazione per creare un set di regole di qualità dei dati. ::dataQualityRuleset/<name>
glue:DeleteDataQualityRuleset Concede l'autorizzazione per eliminare un set di regole di qualità dei dati. ::dataQualityRuleset/<name>
glue:GetDataQualityRuleset Concede l'autorizzazione per recuperare un set di regole di qualità dei dati. ::dataQualityRuleset/<name>
glue:ListDataQualityRulesets Concede l'autorizzazione per recuperare tutti i set di regole di qualità dei dati. ::dataQualityRuleset/*
glue:UpdateDataQualityRuleset Concede l'autorizzazione per aggiornare un set di regole di qualità dei dati. ::dataQualityRuleset/<name>
glue:GetDataQualityResult Concede l'autorizzazione per recuperare un risultato di esecuzione dell'attività di qualità dei dati. Questa IAM azione fornisce inoltre le autorizzazioni per quanto segue: APIS

  • BatchGetDataQualityQualityResult

  • ListDataQualityStatistics

  • ListDataQualityStatisticAnnotations

 ::dataQualityRuleset/<name>
glue:ListDataQualityResults Concede l'autorizzazione per recuperare i risultati di tutte le esecuzioni delle attività di qualità dei dati. ::dataQualityRuleset/*
glue:CancelDataQualityRuleRecommendationRun Concede l'autorizzazione per interrompere l'esecuzione dell'attività di raccomandazione di qualità dei dati in corso. ::dataQualityRuleset/*
glue:GetDataQualityRuleRecommendationRun Concede l'autorizzazione per recuperare l'esecuzione di un'attività di raccomandazione di qualità dei dati. ::dataQualityRuleset/*
glue:ListDataQualityRuleRecommendationRuns Concede l'autorizzazione per recuperare tutte le esecuzioni dell'attività di raccomandazione di qualità dei dati. ::dataQualityRuleset/*
glue:StartDataQualityRuleRecommendationRun Concede l'autorizzazione per iniziare l'esecuzione di un'attività di raccomandazione di qualità dei dati. ::dataQualityRuleset/*
glue:CancelDataQualityRulesetEvaluationRun Concede l'autorizzazione per interrompere l'esecuzione dell'attività di qualità dei dati in corso. ::dataQualityRuleset/*
glue:GetDataQualityRulesetEvaluationRun Concede l'autorizzazione per recuperare una esecuzione dell'attività di qualità dei dati. ::dataQualityRuleset/*
glue:ListDataQualityRulesetEvaluationRuns Concede l'autorizzazione per recuperare tutte le esecuzioni dell'attività di qualità dei dati. ::dataQualityRuleset/*
glue:StartDataQualityRulesetEvaluationRun Concede l'autorizzazione per iniziare l'esecuzione di un'attività di qualità dei dati. ::dataQualityRuleset/<name>
glue:PublishDataQuality Concede l'autorizzazione a pubblicare i risultati sulla qualità dei dati. ::dataQualityRuleset/<name>
glue:GetDataQualityModel Concede l'autorizzazione a recuperare il modello di qualità dei dati. ::dataQualityRuleset/<name>, ::job/<name>
glue:GetDataQualityModelResult Concede l'autorizzazione a recuperare i risultati del modello di qualità dei dati. ::dataQualityRuleset/<name>, ::job/<name>
glue:PutDataQualityStatisticAnnotation Concede l'autorizzazione ad aggiungere annotazioni a Statistics. Questa IAM azione fornisce anche le autorizzazioni per quanto segue: APIS

  • BatchPutDataQualityStatisticAnnotation

::dataQualityRuleset/<name>, ::job/<name>
glue:PutDataQualityProfileAnnotation Concede il permesso di inserire annotazioni in tutte le statistiche di un profilo. ::dataQualityRuleset/<name>, ::job/<name>

IAMconfigurazione richiesta per la pianificazione delle esecuzioni di valutazione

IAMautorizzazioni

Per eseguire esecuzioni di valutazione pianificate della qualità dei dati, devi aggiungere l'operazione IAM:PassRole alla policy delle autorizzazioni.

AWS EventBridge Autorizzazioni richieste dallo Scheduler
Azione Descrizione Tipi di risorsa
iam:PassRole Concede l'autorizzazione per consentire IAM all'utente di passare i ruoli approvati. ARNdel ruolo usato per chiamare StartDataQualityRulesetEvaluationRun

Senza queste autorizzazioni si verifica il seguente errore:

"errorCode": "AccessDenied"
"errorMessage": "User: arn:aws:sts::account_id:assumed-role/AWSGlueServiceRole is not 
authorized to perform: iam:PassRole on resource: arn:aws:iam::account_id:role/service-role/AWSGlueServiceRole 
because no identity-based policy allows the iam:PassRole action"

IAMentità fidate

I servizi AWS Glue and AWS EventBridge Scheduler devono essere elencati nelle entità attendibili per creare ed eseguire una pianificazione. StartDataQualityEvaluationRun

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "glue.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "scheduler.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Politiche di esempio IAM

Un IAM ruolo per AWS Glue Data Quality richiede i seguenti tipi di autorizzazioni:

  • Autorizzazioni per le operazioni di AWS Glue Data Quality in modo da poter ottenere le regole di qualità dei dati consigliate ed eseguire un'attività di qualità dei dati su una tabella nel AWS Glue Data Catalog. Le IAM politiche di esempio in questa sezione includono le autorizzazioni minime richieste per le operazioni di AWS Glue Data Quality.

  • Autorizzazioni che concedono l'accesso alla tabella del catalogo dati e ai dati sottostanti. Queste autorizzazioni sono diverse a seconda del caso d'uso. Ad esempio, per i dati che cataloghi in Amazon S3, le autorizzazioni devono includere l'accesso ad Amazon S3.

    Nota

    È necessario configurare le autorizzazioni Amazon S3 oltre alle autorizzazioni descritte in questa sezione.

Autorizzazioni minime per ottenere le regole di qualità dei dati consigliate

Questa policy di esempio include le autorizzazioni necessarie per generare regole di qualità dei dati consigliate. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowGlueRuleRecommendationRunActions",
      "Effect": "Allow",
      "Action": [
        "glue:GetDataQualityRuleRecommendationRun",
        "glue:PublishDataQuality",
        "glue:CreateDataQualityRuleset"
      ],
      "Resource": "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*"
    },
	{
     "Sid": "AllowCatalogPermissions",
     "Effect": "Allow",
     "Action": [
        "glue:GetPartitions",
        "glue:GetTable"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowS3GetObjectToRunRuleRecommendationTask",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": "arn:aws:s3:::aws-glue-*"
    },
	{   // Optional for Logs
        "Sid": "AllowPublishingCloudwatchLogs",
        "Effect": "Allow",
        "Action": [
          "logs:CreateLogStream",
          "logs:CreateLogGroup",
          "logs:PutLogEvents"
        ],
        "Resource": "*"
    },
  ]
}

Autorizzazioni minime per l'esecuzione di un'attività di qualità dei dati

Questa policy di esempio include le autorizzazioni necessarie per eseguire un'attività di valutazione della qualità dei dati.

Le seguenti dichiarazioni di policy sono facoltative, a seconda del caso d'uso:

  • AllowCloudWatchPutMetricDataToPublishTaskMetrics - Obbligatorio se desideri pubblicare i parametri di esecuzione della qualità dei dati in Amazon CloudWatch.

  • AllowS3PutObjectToWriteTaskResults - Obbligatorio se desideri scrivere i risultati di esecuzione della qualità dei dati su Amazon S3.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowGlueGetDataQualityRuleset",
      "Effect": "Allow",
      "Action": [
        "glue:GetDataQualityRuleset"
      ],
      "Resource": "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/<YOUR-RULESET-NAME>"
    },
    {
      "Sid": "AllowGlueRulesetEvaluationRunActions",
      "Effect": "Allow",
      "Action": [
        "glue:GetDataQualityRulesetEvaluationRun",
        "glue:PublishDataQuality"
      ],
      "Resource": "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*"
    },
	{
      "Sid": "AllowCatalogPermissions",
      "Effect": "Allow",
      "Action": [
        "glue:GetPartitions",
        "glue:GetTable"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowS3GetObjectForRulesetEvaluationRun",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": "arn:aws:s3:::aws-glue-*"
    },
    {
      "Sid": "AllowCloudWatchPutMetricDataToPublishTaskMetrics",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloudwatch:namespace": "Glue Data Quality"
        }
      }
    },
    {
      "Sid": "AllowS3PutObjectToWriteTaskResults",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject*"
      ],
      "Resource": "arn:aws:s3:::<YOUR-BUCKET-NAME>/*"
    }
  ]
}

Autorizzazioni minime per eseguire un processo di qualità dei dati ETL

Questa policy di esempio include le autorizzazioni necessarie per eseguire un ETL Job di qualità dei dati. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowGluePublishDataQualityResult",
      "Effect": "Allow",
      "Action": [
        "glue:PublishDataQuality"
      ],
      "Resource": "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*"
    },
    //Optional to retrieve results, observation generation, 
    //dynamic rules and DetectAnomalies
    {
      "Sid": "AllowGlueGetDataQualityResult",
      "Effect": "Allow",
      "Action": [
        "glue:GetDataQualityResult"
      ],
      "Resource": "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*"
    },
    //Optional to allow annotating statistics
    {
      "Sid": "AllowGlueDataQualityStatisticAnnotation",
      "Effect": "Allow",
      "Action": [
        "glue:PutDataQualityStatisticAnnotation"
      ],
      "Resource": [
        "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*",
        "arn:aws:glue:us-east-1:111122223333::job/{JobName}"
      ]
    },
    //Optional to allow annotating all statistics in a profile
    {
      "Sid": "AllowGlueDataQualityProfileAnnotation",
      "Effect": "Allow",
      "Action": [
        "glue:PutDataQualityProfileAnnotation"
      ],
      "Resource": [
        "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*",
        "arn:aws:glue:us-east-1:111122223333::job/{JobName}"
      ]
    }
}