翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Glue の AWS 管理ポリシーの付与
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 AWS サービス は、新しい AWS が起動されたとき、または既存のサービスで新しいAPIオペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「 ユーザーガイド」の「 AWS 管理ポリシーIAM」を参照してください。
AWS の マネージド (事前定義) ポリシー AWS Glue
AWS は、 によって作成および管理されるスタンドアロンIAMポリシーを提供することで、多くの一般的なユースケースに対処します AWS。これらの AWS 管理ポリシーは、一般的なユースケースに必要なアクセス許可を付与するため、どのアクセス許可が必要かを調査する必要がなくなります。詳細については、「 ユーザーガイド」の「 AWS 管理ポリシーIAM」を参照してください。
アカウントの ID にアタッチできる以下の AWS マネージドポリシーは、 に固有AWS Glueであり、ユースケースシナリオ別にグループ化されています。
-
AWSGlueConsoleFullAccess
– ポリシーがアタッチされている ID が を使用する場合、AWS Glueリソースへのフルアクセスを許可します AWS Management Console。このポリシーで指定されたリソースの命名規則に従った場合、ユーザーは完全なコンソール機能を使用できます。このポリシーは、通常 AWS Glue コンソールのユーザーにアタッチされています。 -
AWSGlueServiceRole
– さまざまなAWS Glueプロセスがユーザーに代わって実行するために必要なリソースへのアクセスを許可します。これらのリソースにはAWS Glue、、Amazon S3、IAM、 CloudWatch Logs、Amazon が含まれますEC2。このポリシーで指定されたリソースの命名規則に従った場合、AWS Glue プロセスは必要なアクセス権限を使用できます。このポリシーは、通常、クローラ、ジョブ、開発エンドポイントを定義するときに指定されたロールにアタッチされます。 -
AwsGlueSessionUserRestrictedServiceRole
– セッションを除くすべてのAWS Glueリソースへのフルアクセスを提供します。ユーザーに、自分に関連付けられたインタラクティブセッションのみ、作成と使用を許可します。このポリシーには、他の AWS サービスのAWS Glueリソースを管理するAWS Glueために が必要とする他のアクセス許可が含まれています。このポリシーでは、他の AWS サービスのAWS Glueリソースにタグを追加することもできます。 注記
セキュリティ上のメリットを最大限に引き出すには、
AWSGlueServiceRole
、AWSGlueConsoleFullAccess
、またはAWSGlueConsoleSageMakerNotebookFullAccess
のポリシーが割り当てられたユーザーにはこのポリシーを付与しないでください。 -
AwsGlueSessionUserRestrictedPolicy
– 割り当て先の AWS ユーザー ID に一致するタグキー「所有者」と値が指定されている場合にのみ、 CreateSession
APIオペレーションを使用してAWS Glueインタラクティブセッションを作成するためのアクセスを提供します。この ID ポリシーは、CreateSession
APIオペレーションを呼び出すIAMユーザーにアタッチされます。また、このポリシーは、割り当て先が AWS 、ユーザー ID に一致する「所有者」タグと値を使用して作成されたAWS Glueインタラクティブセッションリソースとやり取りすることを許可します。このポリシーは、セッションが作成された後に、AWS Glue セッションリソースから「所有者」タグを変更または削除する許可を拒否します。注記
セキュリティ上のメリットを最大限に引き出すには、
AWSGlueServiceRole
、AWSGlueConsoleFullAccess
、またはAWSGlueConsoleSageMakerNotebookFullAccess
のポリシーが割り当てられたユーザーにはこのポリシーを付与しないでください。 -
AwsGlueSessionUserRestrictedNotebookServiceRole
– 特定のAWS Glueインタラクティブセッションリソースとやり取りするためのAWS Glue Studioノートブックセッションへの十分なアクセスを提供します。これらは、ノートブックを作成するプリンシパル (IAM ユーザーまたはロール) の AWS ユーザー ID と一致する「所有者」タグ値で作成されたリソースです。これらのタグの詳細については、「 IAMユーザーガイド」の「プリンシパルキー値」表を参照してください。 このサービスロールポリシーは、ノートブック内のマジックコマンドで指定されたロールにアタッチされるか、
CreateSession
APIオペレーションにロールとして渡されます。このポリシーでは、タグキー「所有者」と値がプリンシパルの AWS ユーザー ID と一致する場合にのみ、プリンシパルがAWS Glue StudioノートブックインターフェイスからAWS Glueインタラクティブセッションを作成することを許可します。このポリシーは、セッションが作成された後に、AWS Glue セッションリソースから「所有者」タグを変更または削除する許可を拒否します。このポリシーには、Amazon S3 バケットからの書き込みと読み取り、 CloudWatch ログの書き込み、および で使用される Amazon EC2リソースのタグの作成と削除のためのアクセス許可も含まれていますAWS Glue。注記
セキュリティ上のメリットを最大限に引き出すには、
AWSGlueServiceRole
、AWSGlueConsoleFullAccess
、またはAWSGlueConsoleSageMakerNotebookFullAccess
のポリシーが割り当てられたユーザーにはこのポリシーを付与しないでください。 -
AwsGlueSessionUserRestrictedNotebookPolicy
– AWS Glue Studioノートブックを作成するプリンシパル (IAM ユーザーまたはロール) のユーザーと一致する AWS タグキー「所有者」と値がある場合にのみIDof、ノートブックインターフェイスからAWS Glueインタラクティブセッションを作成するためのアクセスを提供します。これらのタグの詳細については、「 IAMユーザーガイド」の「プリンシパルキー値」表を参照してください。 このポリシーは、AWS Glue Studioノートブックインターフェイスからセッションを作成するプリンシパル (IAM ユーザーまたはロール) にアタッチされます。このポリシーでは、特定の AWS Glue インタラクティブセッションリソースのやり取りを行うための、AWS Glue Studio ノートブックへの十分なアクセス権限も付与されます。これらは、プリンシパルの AWS ユーザー ID と一致する「所有者」タグ値で作成されたリソースです。このポリシーは、セッションが作成された後に、AWS Glue セッションリソースから「所有者」タグを変更または削除する許可を拒否します。
-
AWSGlueServiceNotebookRole
– AWS Glue Studioノートブックで開始されたAWS Glueセッションへのアクセスを許可します。このポリシーでは、すべてのセッションのセッション情報を一覧表示して取得できますが、ユーザー AWS ID でタグ付けされたセッションの作成と使用のみがユーザーに許可されます。このポリシーは、 AWS ID でタグ付けされたAWS Glueセッションリソースから「所有者」タグを変更または削除するアクセス許可を拒否します。 このポリシーを、 のノートブックインターフェイスを使用してジョブを作成する AWS ユーザーに割り当てますAWS Glue Studio。
-
AWSGlueConsoleSageMakerNotebookFullAccess
– ポリシーがアタッチされている ID が を使用する場合、 AWS Glue と SageMaker リソースへのフルアクセスを許可します AWS Management Console。このポリシーで指定されたリソースの命名規則に従った場合、ユーザーは完全なコンソール機能を使用できます。このポリシーは通常、 SageMaker ノートブックを管理するAWS Glueコンソールのユーザーにアタッチされます。 -
AWSGlueSchemaRegistryFullAccess
– ポリシーがアタッチされている ID が AWS Management Console または を使用する場合、AWS GlueSchema Registry リソースへのフルアクセスを許可します AWS CLI。このポリシーで指定されたリソースの命名規則に従った場合、ユーザーは完全なコンソール機能を使用できます。このポリシーは通常、 AWS Glue コンソールのユーザー、または AWS Glue Schema Registry を管理する AWS CLI ユーザーにアタッチされます。 -
AWSGlueSchemaRegistryReadonlyAccess
– ポリシーがアタッチされている ID が AWS Management Console または を使用する場合、AWS GlueSchema Registry リソースへの読み取り専用アクセスを許可します AWS CLI。このポリシーで指定されたリソースの命名規則に従った場合、ユーザーは完全なコンソール機能を使用できます。このポリシーは通常、 AWS Glue コンソールのユーザー、または AWS Glue Schema Registry を使用する AWS CLI ユーザーにアタッチされます。
注記
これらのアクセス許可ポリシーを確認するには、IAMコンソールにサインインし、そこで特定のポリシーを検索します。
独自のカスタムIAMポリシーを作成して、 AWS Glue アクションとリソースのアクセス許可を許可することもできます。これらのカスタムポリシーは、これらのアクセス許可を必要とするIAMユーザーまたはグループにアタッチできます。
AWSAWS 管理ポリシーの Glue 更新
AWS Glue の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知を受け取るには、 AWS Glue ドキュメント履歴ページのRSSフィードをサブスクライブします。
変更 | 説明 | 日付 |
---|---|---|
AwsGlueSessionUserRestrictedPolicy – 既存のポリシーの軽微な更新。 | 所有者タグキーに glue:TagResource アクションの許可を追加します。所有者タグキーを持つセッション tag-on-create の のサポートに必要です。 |
2024 年 8 月 5 日 |
AwsGlueSessionUserRestrictedServiceRole – 既存のポリシーの軽微な更新。 | 所有者タグキーに glue:TagResource アクションの許可を追加します。所有者タグキーを持つセッション tag-on-create の のサポートに必要です。 |
2024 年 8 月 5 日 |
AwsGlueSessionUserRestrictedPolicy – 既存のポリシーの軽微な更新。 | glue:StartCompletion と glue:GetCompletion をポリシーに追加します。 AWS Glue での Amazon Q データ統合に必要です。 |
2024 年 4 月 30 日 |
AwsGlueSessionUserRestrictedNotebookServiceRole – 既存のポリシーのマイナーな更新。 | glue:StartCompletion と glue:GetCompletion をポリシーに追加します。 AWS Glue での Amazon Q データ統合に必要です。 |
2024 年 4 月 30 日 |
AwsGlueSessionUserRestrictedServiceRole – 既存のポリシーの軽微な更新。 | glue:StartCompletion と glue:GetCompletion をポリシーに追加します。 AWS Glue での Amazon Q データ統合に必要です。 |
2024 年 4 月 30 日 |
AWSGlueServiceNotebookRole – 既存のポリシーのマイナーな更新。 | glue:StartCompletion と glue:GetCompletion をポリシーに追加します。 AWS Glue での Amazon Q データ統合に必要です。 |
2024 年 1 月 30 日 |
AwsGlueSessionUserRestrictedNotebookPolicy – 既存のポリシーのマイナーな更新。 | glue:StartCompletion と glue:GetCompletion をポリシーに追加します。 AWS Glue での Amazon Q データ統合に必要です。 |
2023 年 11 月 29 日 |
AWSGlueServiceNotebookRole – 既存のポリシーのマイナーな更新。 | codewhisperer:GenerateRecommendations をポリシーに追加します。 AWS Glue がレコ CodeWhisperer メンデーションを生成する新機能に必要です。 |
2023 年 10 月 9 日 |
AWSGlueServiceRole – 既存のポリシーの軽微な更新。 |
AWS Glue のログ記録をより適切に反映できるように、 CloudWatch アクセス許可の範囲を厳しくします。 | 2023 年 8 月 4 日 |
AWSGlueConsoleFullAccess – 既存のポリシーの軽微な更新。 |
databrew レシピのリストと説明のアクセス許可をポリシーに追加します。 AWS Glue がレシピにアクセスできる新機能にフル管理アクセスを提供するのに必要です。 |
2023 年 5 月 9 日 |
AWSGlueConsoleFullAccess – 既存のポリシーの軽微な更新。 |
cloudformation:ListStacks をポリシーに追加します。 AWS CloudFormation 承認要件を変更した後、既存の機能を保持します。 |
2023 年 3 月 28 日 |
インタラクティブセッション機能で新たに追加されたマネージドポリシー:
|
これらのポリシーは、AWS Glue Studio のインタラクティブセッションとノートブックのセキュリティを強化するように設計されています。ポリシーは、所有者のみがアクセスできるように、 |
2021 年 11 月 30 日 |
AWSGlueConsoleSageMakerNotebookFullAccess – 既存ポリシーへの更新。 |
スクリプトと一時ファイルを保存するために がAWS Glue使用する Amazon S3 バケットに対する読み取り/書き込みアクセス許可を付与するアクションの冗長リソース ARN (
|
2021 年 7 月 15 日 |
AWSGlueConsoleFullAccess – 既存ポリシーへの更新。 |
スクリプトと一時ファイルを保存するために がAWS Glue使用する Amazon S3 バケットに対する読み取り/書き込みアクセス許可を付与するアクションの冗長リソース ARN (arn:aws:s3:::aws-glue-*/* ) を削除しました。 |
2021 年 7 月 15 日 |
AWS Glue は変更の追跡を開始しました |
AWS Glue が AWS マネージドポリシーの変更の追跡を開始しました。 | 2021 年 6 月 10 日 |