Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Rivedi IAM le autorizzazioni necessarie per l'AWS Glue Studioutente
Per utilizzarloAWS Glue Studio, l'utente deve avere accesso a varie AWS risorse. L'utente deve essere in grado di visualizzare e selezionare bucket, IAM policy, ruoli e oggetti di Amazon S3. AWS Glue Data Catalog
Autorizzazioni di servizio AWS Glue
AWS Glue Studio utilizza le operazioni e le risorse del servizio AWS Glue. Per utilizzare in modo efficace AWS Glue Studio, l'utente ha bisogno delle autorizzazioni per tali operazioni e risorse. È possibile concedere all'utente di AWS Glue Studio la policy gestita da AWSGlueConsoleFullAccess oppure creare una policy personalizzata con un set di autorizzazioni più piccolo.
Importante
In base alle best practice di sicurezza, si consiglia di limitare l'accesso rafforzando le policy per limitare ulteriormente l'accesso al bucket Amazon S3 e ai gruppi di log Amazon CloudWatch . Per un esempio di policy di Amazon S3, consulta Writing IAM Policies: How to Grant Access to an Amazon S3
Creazione di politiche personalizzate per IAM AWS Glue Studio
È possibile creare una policy personalizzata con un set di autorizzazioni più piccolo per AWS Glue Studio. La policy può concedere autorizzazioni per un sottoinsieme di oggetti o operazioni. Durante la creazione di una policy personalizzata, utilizza le seguenti informazioni.
Per utilizzare il AWS Glue StudioAPIs, includi glue:UseGlueStudio nella politica d'azione le tue IAM autorizzazioni. L'utilizzo ti glue:UseGlueStudio consentirà di accedere a tutte AWS Glue Studio le azioni anche se API nel tempo vengono aggiunte altre azioni.
Per ulteriori informazioni sulle azioni definite da AWS Glue, vedere Azioni definite da AWS Glue.
Preparazione dei dati e creazione di azioni
-
SendRecipeAction
-
GetRecipeAction
Azioni con grafo aciclico diretto () DAG
-
CreateDag
-
UpdateDag
-
GetDag
-
DeleteDag
Operazioni di processo
-
SaveJob
-
GetJob
-
CreateJob
-
DeleteJob
-
GetJobs
-
UpdateJob
Opzione di esecuzione del processo
-
StartJobRun
-
GetJobRuns
-
BatchStopJobRun
-
GetJobRun
-
QueryJobRuns
-
QueryJobs
-
QueryJobRunsAggregated
Operazioni dello schema
-
GetSchema
-
GetInferredSchema
Operazioni del database
-
GetDatabases
Operazioni del piano
-
GetPlan
Operazioni della tabella
-
SearchTables
-
GetTables
-
GetTable
Operazioni di connessione
-
CreateConnection
-
DeleteConnection
UpdateConnection
-
GetConnections
-
GetConnection
Operazioni di mappatura
-
GetMapping
Operazioni proxy S3
-
ListBuckets
-
ListObjectsV2
-
GetBucketLocation
Operazioni di configurazione di sicurezza
-
GetSecurityConfigurations
Operazioni di script
-
CreateScript (diverso dallo API stesso nome inAWS Glue)
Accedendo AWS Glue Studio APIs
Per accedereAWS Glue Studio, aggiungi glue:UseGlueStudio l'elenco delle politiche delle azioni nelle IAM autorizzazioni.
Nell'esempio seguente, glue:UseGlueStudio è inclusa nella policy d'azione, ma non è identificata singolarmente. AWS Glue Studio APIs Questo perché quando includiglue:UseGlueStudio, ti viene automaticamente concesso l'accesso all'area interna APIs senza dover specificare la persona AWS Glue Studio APIs nelle IAM autorizzazioni.
Nell'esempio, le politiche d'azione aggiuntive elencate (ad esempio,glue:SearchTables) non lo sono AWS Glue StudioAPIs, quindi dovranno essere incluse nelle IAM autorizzazioni, se necessario. Potresti inoltre includere operazioni Amazon S3 Proxy per specificare il livello di accesso Amazon S3 da concedere. La politica di esempio riportata di seguito consente di aprireAWS Glue Studio, creare un job visivo e salvarlo/eseguirlo se il IAM ruolo selezionato ha un accesso sufficiente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "glue:UseGlueStudio", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "glue:SearchTables", "glue:GetConnections", "glue:GetJobs", "glue:GetTables", "glue:BatchStopJobRun", "glue:GetSecurityConfigurations", "glue:DeleteJob", "glue:GetDatabases", "glue:CreateConnection", "glue:GetSchema", "glue:GetTable", "glue:GetMapping", "glue:CreateJob", "glue:DeleteConnection", "glue:CreateScript", "glue:UpdateConnection", "glue:GetConnection", "glue:StartJobRun", "glue:GetJobRun", "glue:UpdateJob", "glue:GetPlan", "glue:GetJobRuns", "glue:GetTags", "glue:GetJob", "glue:QueryJobRuns", "glue:QueryJobs", "glue:QueryJobRunsAggregated", "glue:SendRecipeAction", "glue:GetRecipeAction" ], "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] }
Autorizzazioni per notebook e anteprima dati
Le anteprime dei dati e i notebook consentono di visualizzare un campione dei dati in qualsiasi fase del processo (lettura, trasformazione, scrittura), senza doverlo eseguire. Si specifica un ruolo AWS Identity and Access Management (IAM) AWS Glue Studio da utilizzare per l'accesso ai dati. IAMi ruoli sono pensati per essere ipotizzabili e non sono associati a credenziali standard a lungo termine, come una password o chiavi di accesso. Invece, quando AWS Glue Studio assume il ruolo, gli IAM fornisce credenziali di sicurezza temporanee.
Per garantire che le anteprime dei dati e i comandi del notebook funzionino correttamente, usa un ruolo con un nome che inizia con la stringa AWSGlueServiceRole. Se scegli di utilizzare un nome diverso per il tuo ruolo, devi aggiungere l'iam:passroleautorizzazione e configurare una politica per il ruolo in. IAM Per ulteriori informazioni, consulta Crea una policy IAM per ruoli non denominati "AWSGlueServiceRole*".
avvertimento
Se un ruolo concede l'autorizzazione iam:passrole per un notebook e tu implementi il concatenamento dei ruoli, un utente potrebbe ottenere involontariamente l'accesso al notebook. Al momento non è implementato alcun controllo che permetta di monitorare a quali utenti sia stato concesso l'accesso al notebook.
Se desideri negare a un'IAMidentità la possibilità di creare sessioni di anteprima dei dati, consulta l'esempio Negare a un'identità la possibilità di creare sessioni di anteprima dei dati seguente.
Autorizzazioni di Amazon CloudWatch
Puoi monitorare i tuoi AWS Glue Studio lavori utilizzando Amazon CloudWatch, che raccoglie ed elabora dati grezzi AWS Glue trasformandoli in metriche leggibili. near-real-time Per impostazione predefinita, i dati AWS Glue delle metriche vengono inviati automaticamente a. CloudWatch Per ulteriori informazioni, consulta What Is Amazon CloudWatch? nella Amazon CloudWatch User Guide e AWS GlueMetrics nella AWS Glue Developer Guide.
Per accedere alle CloudWatch dashboard, l'utente che accede AWS Glue Studio deve disporre di uno dei seguenti elementi:
-
La policy
AdministratorAccess -
La policy
CloudWatchFullAccess -
Una policy personalizzata che includa una o più di queste autorizzazioni specifiche:
-
cloudwatch:GetDashboardecloudwatch:ListDashboardsper visualizzare i pannelli di controllo -
cloudwatch:PutDashboardper creare o modificare i pannelli di controllo -
cloudwatch:DeleteDashboardsper eliminare i pannelli di controllo
-
Per ulteriori informazioni sulla modifica delle autorizzazioni per un IAM utente che utilizza i criteri, consulta Modifica delle autorizzazioni per un IAM utente nella Guida per l'utente. IAM
