AWS politiche gestite per AWS Glue - AWS Glue
AWS politiche gestite (predefinite) per AWS GlueAggiornamenti alle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per AWS Glue

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.

AWS politiche gestite (predefinite) per AWS Glue

AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da. AWS Queste policy AWS gestite concedono le autorizzazioni necessarie per i casi d'uso comuni in modo da evitare di dover esaminare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.

Le seguenti politiche AWS gestite, che puoi allegare alle identità del tuo account, sono specifiche AWS Glue e raggruppate per scenario d'uso:

  • AWSGlueConsoleFullAccess— Garantisce l'accesso completo alle AWS Glue risorse quando un'identità a cui è associata la politica utilizza il. AWS Management Console Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questa policy è in genere collegata agli utenti della console AWS Glue.

  • AWSGlueServiceRole— Garantisce l'accesso alle risorse che AWS Glue i vari processi richiedono per l'esecuzione per conto dell'utente. Queste risorse includono Amazon S3AWS Glue, IAM, CloudWatch Logs e Amazon EC2. Se segui la convenzione di denominazione per le risorse specificata in questa policy, i processi AWS Glue dispongono delle autorizzazioni richieste. Questa policy è in genere collegata ai ruoli specificati quando si definiscono crawler, processi ed endpoint di sviluppo.

  • AwsGlueSessionUserRestrictedServiceRole— Fornisce l'accesso completo a tutte le AWS Glue risorse ad eccezione delle sessioni. Permette agli utenti di creare e utilizzare solo le sessioni interattive associate all'utente. Questa politica include altre autorizzazioni necessarie AWS Glue per gestire AWS Glue le risorse in altri AWS servizi. La politica consente inoltre di aggiungere tag alle AWS Glue risorse di altri AWS servizi.

    Nota

    Per ottenere tutti i vantaggi della sicurezza, non concedere questa policy a un utente a cui sia stata assegnata la policy AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedPolicy— Fornisce l'accesso per creare sessioni AWS Glue interattive utilizzando l'operazione CreateSession API solo se vengono forniti una chiave di tag «proprietario» e un valore che corrispondono all'ID AWS utente dell'assegnatario. Questa policy di identità è collegata all'utente IAM che richiama l'operazione dell'API CreateSession. Questa politica consente inoltre all'assegnatario di interagire con le risorse della sessione AWS Glue interattiva create con un tag e un valore «proprietario» che corrispondono al proprio ID utente. AWS Questa policy nega l'autorizzazione di modificare o rimuovere i tag "proprietario" da una risorsa di sessione AWS Glue dopo la creazione della sessione.

    Nota

    Per ottenere tutti i vantaggi della sicurezza, non concedere questa policy a un utente a cui sia stata assegnata la policy AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedNotebookServiceRole— Fornisce un accesso sufficiente alla sessione del AWS Glue Studio notebook per interagire con risorse di sessione interattive specificheAWS Glue. Si tratta di risorse create con il valore del tag «owner» che corrisponde all'ID AWS utente del principale (utente o ruolo IAM) che crea il notebook. Per ulteriori informazioni su questi tag, consulta il grafico Valori della chiave dell'entità principale nella Guida per l'utente IAM.

    Questa policy del ruolo di servizio viene collegata al ruolo specificato con un comando magic all'interno del notebook o viene passata come ruolo all'operazione CreateSession dell'API. Questa politica consente inoltre al principale di creare una sessione AWS Glue interattiva dall'interfaccia del AWS Glue Studio notebook solo se la chiave del tag «proprietario» e il valore corrispondono all'ID AWS utente del principale. Questa policy nega l'autorizzazione di modificare o rimuovere i tag "proprietario" da una risorsa di sessione AWS Glue dopo la creazione della sessione. Questa policy include anche le autorizzazioni per la scrittura e la lettura da bucket Amazon S3, la CloudWatch scrittura di log e la creazione ed eliminazione di tag per le risorse Amazon EC2 utilizzate da. AWS Glue

    Nota

    Per ottenere tutti i vantaggi della sicurezza, non concedere questa policy a un ruolo a cui sia stata assegnata la policy AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedNotebookPolicy— Fornisce l'accesso per creare una sessione AWS Glue interattiva dall'interfaccia del AWS Glue Studio notebook solo se sono presenti una chiave di tag «proprietario» e un valore che corrispondono AWS all'ID utente del principale (utente o ruolo IAM) che crea il notebook. Per ulteriori informazioni su questi tag, consulta il grafico Valori della chiave dell'entità principale nella Guida per l'utente IAM.

    Questa policy è associata al principale (utente o ruolo IAM) che crea sessioni dall'interfaccia AWS Glue Studio notebook. Inoltre, questa policy offre un accesso adeguato al notebook AWS Glue Studio per interagire con specifiche risorse della sessione interattiva AWS Glue. Si tratta di risorse create con il valore del tag «owner» che corrisponde all'ID AWS utente del principale. Questa policy nega l'autorizzazione di modificare o rimuovere i tag "proprietario" da una risorsa di sessione AWS Glue dopo la creazione della sessione.

  • AWSGlueServiceNotebookRole— Concede l'accesso alle AWS Glue sessioni avviate su un AWS Glue Studio taccuino. Questa politica consente di elencare e ottenere informazioni sulla sessione per tutte le sessioni, ma consente solo agli utenti di creare e utilizzare le sessioni contrassegnate con il proprio ID AWS utente. Questa politica nega l'autorizzazione a modificare o rimuovere i tag «proprietario» dalle risorse AWS Glue della sessione contrassegnate con il loro AWS ID.

    Assegna questo criterio all' AWS utente che crea lavori utilizzando l'interfaccia del notebook in. AWS Glue Studio

  • AWSGlueConsoleSageMakerNotebookFullAccess— Garantisce l'accesso completo a AWS Glue e alle SageMaker risorse quando l'identità a cui è associata la politica utilizza il AWS Management Console. Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questa policy viene in genere associata agli utenti della AWS Glue console che gestiscono i SageMaker notebook.

  • AWSGlueSchemaRegistryFullAccess— Concede l'accesso completo alle risorse del registro AWS Glue dello schema quando l'identità a cui è associata la politica utilizza o. AWS Management Console AWS CLI Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questo criterio viene in genere associato agli utenti della AWS Glue console o a AWS CLI chi gestisce lo AWS Glue Schema Registry.

  • AWSGlueSchemaRegistryReadonlyAccess— Concede l'accesso in sola lettura alle risorse del registro AWS Glue dello schema quando un'identità a cui è associata la politica utilizza o. AWS Management Console AWS CLI Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questo criterio viene in genere associato agli utenti della AWS Glue console o AWS CLI che utilizzano lo Schema Registry. AWS Glue

Nota

Per esaminare queste policy di autorizzazione, accedi alla console IAM ed esegui la ricerca delle policy specifiche.

Puoi anche creare policy IAM personalizzate per concedere le autorizzazioni per operazioni e risorse AWS Glue. Puoi associare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono tali autorizzazioni.

AWS Glue gli aggiornamenti alle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per AWS Glue da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia di AWS Glue Document.

Modifica Descrizione Data
AwsGlueSessionUserRestrictedPolicy — Aggiornamento minore di una politica esistente. Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione dei dati di Amazon Q in AWS Glue. 30 aprile 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Aggiornamento minore di una politica esistente. Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione dei dati di Amazon Q in AWS Glue. 30 aprile 2024
AwsGlueSessionUserRestrictedServiceRole — Aggiornamento minore di una politica esistente. Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione dei dati di Amazon Q in AWS Glue. 30 aprile 2024
AWSGlueServiceNotebookRole — Aggiornamento minore di una politica esistente. Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione dei dati di Amazon Q in AWS Glue. 30 gennaio 2024
AwsGlueSessionUserRestrictedNotebookPolicy — Aggiornamento minore di una politica esistente. Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione dei dati di Amazon Q in AWS Glue. 29 novembre 2023
AWSGlueServiceNotebookRole — Aggiornamento minore di una politica esistente. Aggiungi codewhisperer:GenerateRecommendations alla policy. Necessario per una nuova funzionalità in cui AWS Glue genera CodeWhisperer consigli. 9 ottobre 2023

AWSGlueServiceRole — Aggiornamento minore di una politica esistente.

 Restringi l'ambito delle CloudWatch autorizzazioni per riflettere meglio la registrazione di AWS Glue. 4 agosto 2023

AWSGlueConsoleFullAccess — Aggiornamento minore di una politica esistente.

 Aggiungi le autorizzazioni Elenca e Descrivi per le ricette databrew alla policy. Necessario per fornire l'accesso amministrativo completo alle nuove funzionalità in cui AWS Glue può accedere alle ricette. 9 maggio 2023

AWSGlueConsoleFullAccess — Aggiornamento minore di una politica esistente.

 Aggiungi cloudformation:ListStacks alla policy. Conserva le funzionalità esistenti dopo le modifiche ai requisiti di AWS CloudFormation autorizzazione. 28 marzo 2023

Aggiunte nuove policy gestite per la funzionalità sessioni interattive:

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRole

  • AwsGlueSessionUserRestrictedNotebookPolicy

Queste policy sono state progettate per fornire ulteriore sicurezza per le sessioni interattive e i notebook in AWS Glue Studio. Le policy limitano l'accesso all'operazione dell'API CreateSession, in modo che solo il proprietario abbia accesso.

 30 novembre 2021

AWSGlueConsoleSageMakerNotebookFullAccess — Aggiornamento a una politica esistente.

Rimosso una risorsa ARN ridondante (arn:aws:s3:::aws-glue-*/*) per l'operazione che concede le autorizzazioni di lettura/scrittura sui bucket Amazon S3 che AWS Glue utilizza per archiviare script e file temporanei.

Risolto un problema di sintassi modificando "StringEquals" in "ForAnyValue:StringLike" e spostate le righe "Effect": "Allow" per precedere la riga "Action": in ogni luogo in cui erano fuori uso.

 15 luglio 2021

AWSGlueConsoleFullAccess — Aggiornamento a una politica esistente.

 Rimosso una risorsa ARN ridondante (arn:aws:s3:::aws-glue-*/*) per l'operazione che concede le autorizzazioni di lettura/scrittura sui bucket Amazon S3 che AWS Glue utilizza per archiviare script e file temporanei. 15 luglio 2021

AWS Glue ha iniziato il rilevamento delle modifiche.

 AWS Glueha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. 10 giugno 2021