Glue에 대한 AWSAWS 관리형 정책 부여 - AWS Glue
AWS 에 대한 관리형 (사전 정의된) 정책 AWS Glue정책 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Glue에 대한 AWSAWS 관리형 정책 부여

AWS 관리형 정책은 에서 생성하고 관리하는 독립형 정책입니다. AWS AWS 관리형 정책은 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었으므로 사용자, 그룹 및 역할에 권한을 할당하기 시작할 수 있습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수도 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

관리형 정책에 정의된 권한은 변경할 수 없습니다. AWS AWS 관리형 정책에 정의된 권한을 업데이트하는 경우 AWS 해당 업데이트는 정책이 연결된 모든 주체 ID (사용자, 그룹, 역할) 에 영향을 미칩니다. AWS 새 정책이 시작되거나 기존 서비스에 새 AWS 서비스 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 가장 높습니다.

자세한 내용은 IAM사용 설명서의 AWS 관리형 정책을 참조하십시오.

AWS 에 대한 관리형 (사전 정의된) 정책 AWS Glue

AWS 에서 생성하고 관리하는 독립형 IAM 정책을 제공하여 많은 일반적인 사용 사례를 해결합니다. AWS이러한 AWS 관리형 정책은 일반적인 사용 사례에 필요한 권한을 부여하므로 필요한 권한을 조사하지 않아도 됩니다. 자세한 내용은 IAM사용 설명서의 AWS 관리형 정책을 참조하십시오.

계정의 ID에 연결할 수 있는 다음과 같은 AWS 관리형 정책은 사용 사례 시나리오에만 적용되며 사용 사례 시나리오별로 그룹화되어 있습니다. AWS Glue

  • AWSGlueConsoleFullAccess— 정책이 연결된 ID가 를 사용하는 경우 AWS Glue 리소스에 대한 전체 액세스 권한을 부여합니다. AWS Management Console이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 보통 AWS Glue 콘솔의 사용자에게 해당됩니다.

  • AWSGlueServiceRole— 다양한 AWS Glue 프로세스를 사용자 대신 실행하는 데 필요한 리소스에 대한 액세스 권한을 부여합니다. 이러한 리소스에는 Amazon S3IAM, CloudWatch 로그 및 아마존이 포함됩니다 AWS GlueEC2. 이 정책에 지정된 리소스의 이름 변환을 따르고자 한다면 AWS Glue 절차는 필요한 권한을 소유합니다. 이 정책은 크롤러, 작업 및 개발 엔드포인트를 정의할 때 지정된 역할에 일반적으로 추가됩니다.

  • AwsGlueSessionUserRestrictedServiceRole— 세션을 제외한 모든 AWS Glue 리소스에 대한 전체 액세스 권한을 제공합니다. 사용자와 연결된 대화형 세션만 사용자가 생성하고 사용할 수 있도록 허용합니다. 이 정책에는 다른 AWS 서비스의 AWS Glue 리소스를 관리하는 AWS Glue 데 필요한 기타 권한이 포함됩니다. 또한 이 정책에서는 다른 AWS 서비스의 AWS Glue 리소스에 태그를 추가할 수 있습니다.

    참고

    전체 보안 이점을 얻으려면 AWSGlueServiceRole, AWSGlueConsoleFullAccess 또는 AWSGlueConsoleSageMakerNotebookFullAccess 정책이 할당된 사용자에게 이 정책을 부여하지 않습니다.

  • AwsGlueSessionUserRestrictedPolicy— 담당자의 AWS 사용자 ID와 일치하는 태그 키 “소유자”와 값이 제공된 경우에만 CreateSession API 작업을 사용하여 AWS Glue 대화형 세션을 생성할 수 있는 액세스 권한을 제공합니다. 이 ID 정책은 작업을 호출하는 IAM 사용자에게 연결됩니다. CreateSession API 또한 이 정책은 담당자가 자신의 사용자 ID와 일치하는 “소유자” 태그 및 값으로 생성된 AWS Glue 대화형 세션 리소스와 상호 작용할 수 있도록 허용합니다. AWS 이 정책은 세션이 생성된 후 AWS Glue 세션 리소스에서 'owner' 태그를 변경하거나 제거할 수 있는 권한을 거부합니다.

    참고

    전체 보안 이점을 얻으려면 AWSGlueServiceRole, AWSGlueConsoleFullAccess 또는 AWSGlueConsoleSageMakerNotebookFullAccess 정책이 할당된 사용자에게 이 정책을 부여하지 않습니다.

  • AwsGlueSessionUserRestrictedNotebookServiceRole— 특정 AWS Glue 대화형 세션 리소스와 상호 작용할 수 있도록 AWS Glue Studio 노트북 세션에 대한 충분한 액세스 권한을 제공합니다. 이러한 리소스는 노트북을 만든 주체 (IAM사용자 또는 역할) 의 AWS 사용자 ID와 일치하는 “소유자” 태그 값으로 생성되는 리소스입니다. 이러한 태그에 대한 자세한 내용은 IAM사용 설명서의 보안 주체 키 값 차트를 참조하십시오.

    이 서비스 역할 정책은 노트북 내에서 매직 명령으로 지정되거나 작업에 역할로 전달되는 역할에 연결됩니다. CreateSession API 또한 이 정책은 태그 키 “owner”와 값이 보안 주체의 AWS 사용자 ID와 일치하는 경우에만 보안 주체가 AWS Glue Studio 노트북 인터페이스에서 AWS Glue 대화형 세션을 생성할 수 있도록 허용합니다. 이 정책은 세션이 생성된 후 AWS Glue 세션 리소스에서 'owner' 태그를 변경하거나 제거할 수 있는 권한을 거부합니다. 이 정책에는 Amazon S3 버킷 쓰기 및 읽기, CloudWatch 로그 작성, 에서 사용하는 Amazon EC2 리소스의 태그 생성 및 삭제에 대한 권한도 포함됩니다. AWS Glue

    참고

    전체 보안 이점을 얻으려면 AWSGlueServiceRole, AWSGlueConsoleFullAccess 또는 AWSGlueConsoleSageMakerNotebookFullAccess 정책이 할당된 역할에 이 정책을 부여하지 않습니다.

  • AwsGlueSessionUserRestrictedNotebookPolicy— 사용자에게 노트북을 생성한 주체 ( AWS IAM사용자 IDof 또는 역할) 와 일치하는 태그 키 “소유자”와 값이 있는 경우에만 AWS Glue Studio 노트북 인터페이스에서 AWS Glue 대화형 세션을 생성할 수 있는 액세스 권한을 제공합니다. 이러한 태그에 대한 자세한 내용은 IAM사용 설명서의 주요 키 값 차트를 참조하십시오.

    이 정책은 AWS Glue Studio 노트북 인터페이스에서 세션을 생성하는 주체 (IAM사용자 또는 역할) 에게 연결됩니다. 또한 이 정책은 AWS Glue Studio 노트북에 충분히 액세스하여 특정 AWS Glue 대화형 세션 리소스와 상호 작용할 수 있도록 허용합니다. 이러한 리소스는 보안 주체의 AWS 사용자 ID와 일치하는 “owner” 태그 값으로 생성되는 리소스입니다. 이 정책은 세션이 생성된 후 AWS Glue 세션 리소스에서 'owner' 태그를 변경하거나 제거할 수 있는 권한을 거부합니다.

  • AWSGlueServiceNotebookRole— AWS Glue Studio 노트북에서 시작된 AWS Glue 세션에 대한 액세스 권한을 부여합니다. 이 정책은 모든 세션의 세션 정보를 나열하고 가져올 수 있도록 허용하지만 사용자가 자신의 AWS 사용자 ID로 태그가 지정된 세션을 생성하고 사용하는 것만 허용합니다. 이 정책은 해당 ID로 태그가 지정된 AWS Glue 세션 리소스에서 “소유자” 태그를 변경하거나 제거할 수 있는 권한을 거부합니다. AWS

    에서 노트북 인터페이스를 사용하여 작업을 생성하는 AWS 사용자에게 이 정책을 할당하십시오. AWS Glue Studio

  • AWSGlueConsoleSageMakerNotebookFullAccess— 정책이 연결된 ID가 를 사용하는 경우 AWS Glue 및 SageMaker 리소스에 대한 전체 액세스 권한을 AWS Management Console부여합니다. 이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 일반적으로 SageMaker 노트북을 관리하는 AWS Glue 콘솔 사용자에게 적용됩니다.

  • AWSGlueSchemaRegistryFullAccess— 정책이 연결된 ID가 AWS Glue OR를 사용하는 경우 스키마 레지스트리 리소스에 대한 전체 액세스 권한을 부여합니다 AWS Management Console . AWS CLI이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 일반적으로 AWS Glue 콘솔 사용자 또는 AWS Glue 스키마 레지스트리를 관리하는 AWS CLI 사용자에게 연결됩니다.

  • AWSGlueSchemaRegistryReadonlyAccess— 정책이 연결된 ID가 OR를 사용하는 경우 AWS Glue 스키마 레지스트리 리소스에 대한 읽기 전용 액세스 권한을 부여합니다 AWS Management Console . AWS CLI이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 일반적으로 AWS Glue 콘솔 사용자 또는 AWS Glue 스키마 레지스트리를 사용하는 AWS CLI 사용자에게 연결됩니다.

참고

콘솔에 로그인하고 IAM 콘솔에서 특정 정책을 검색하여 이러한 권한 정책을 검토할 수 있습니다.

또한 사용자 지정 IAM 정책을 생성하여 AWS Glue 작업 및 리소스에 대한 권한을 허용할 수 있습니다. 이러한 사용자 지정 정책을 해당 권한이 필요한 IAM 사용자 또는 그룹에 연결할 수 있습니다.

AWSAWS 관리형 정책에 대한 Glue 업데이트

이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 AWS Glue의 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인하세요. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS Glue Document 기록 페이지에서 RSS 피드를 구독하십시오.

변경 사항 설명 날짜
AwsGlueSessionUserRestrictedPolicy — 기존 정책에 대한 사소한 업데이트. 소유자 태그 키에 glue:TagResource 작업 허용을 추가합니다. 소유자 태그 키가 있는 세션을 지원하는 데 필요합니다. tag-on-create 2024년 8월 5일
AwsGlueSessionUserRestrictedServiceRole — 기존 정책에 대한 사소한 업데이트. 소유자 태그 키에 glue:TagResource 작업 허용을 추가합니다. 소유자 태그 키가 있는 세션을 지원하는 데 필요합니다. tag-on-create 2024년 8월 5일
AwsGlueSessionUserRestrictedPolicy — 기존 정책에 대한 사소한 업데이트. glue:StartCompletionglue:GetCompletion을 정책에 추가합니다. AWS Glue에서 Amazon Q 데이터를 통합하는 데 필요합니다. 2024년 4월 30일
AwsGlueSessionUserRestrictedNotebookServiceRole — 기존 정책에 대한 사소한 업데이트. glue:StartCompletionglue:GetCompletion을 정책에 추가합니다. AWS Glue에서 Amazon Q 데이터를 통합하는 데 필요합니다. 2024년 4월 30일
AwsGlueSessionUserRestrictedServiceRole — 기존 정책에 대한 사소한 업데이트. glue:StartCompletionglue:GetCompletion을 정책에 추가합니다. AWS Glue에서 Amazon Q 데이터를 통합하는 데 필요합니다. 2024년 4월 30일
AWSGlueServiceNotebookRole— 기존 정책에 대한 사소한 업데이트. glue:StartCompletionglue:GetCompletion을 정책에 추가합니다. AWS Glue에서 Amazon Q 데이터를 통합하는 데 필요합니다. 2024년 1월 30일
AwsGlueSessionUserRestrictedNotebookPolicy — 기존 정책에 대한 사소한 업데이트. glue:StartCompletionglue:GetCompletion을 정책에 추가합니다. AWS Glue에서 Amazon Q 데이터를 통합하는 데 필요합니다. 2023년 11월 29일
AWSGlueServiceNotebookRole— 기존 정책에 대한 사소한 업데이트. codewhisperer:GenerateRecommendations를 정책에 추가합니다. AWS Glue가 CodeWhisperer 추천을 생성하는 새 기능에 필요합니다. 2023년 10월 9일

AWSGlueServiceRole— 기존 정책에 대한 사소한 업데이트.

 CloudWatch 권한 범위를 좁혀 AWS Glue 로깅을 더 잘 반영하세요. 2023년 8월 4일

AWSGlueConsoleFullAccess— 기존 정책에 대한 사소한 업데이트.

 databrew 레시피 나열 및 설명 권한을 정책에 추가합니다. AWS Glue가 레시피에 액세스할 수 있는 새 기능에 대한 전체 관리 액세스 권한을 제공하는 데 필요합니다. 2023년 5월 9일

AWSGlueConsoleFullAccess— 기존 정책에 대한 사소한 업데이트.

 cloudformation:ListStacks를 정책에 추가합니다. AWS CloudFormation 인증 요구 사항이 변경된 후에도 기존 기능을 보존합니다. 2023년 3월 28일

대화형 세션 기능에 대해 추가된 새로운 관리형 정책:

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRole

  • AwsGlueSessionUserRestrictedNotebookPolicy

이러한 정책은 AWS Glue Studio에서 대화형 세션과 노트북에 대한 추가 보안을 제공하도록 설계되었습니다. 정책은 소유자만 액세스할 수 있도록 CreateSession API 작업에 대한 액세스를 제한합니다.

 2021년 11월 30일

AWSGlueConsoleSageMakerNotebookFullAccess - 기존 정책에 대한 업데이트

스크립트와 임시 파일을 저장하는 데 AWS Glue 사용하는 Amazon S3 버킷에 대한 읽기/쓰기 권한을 부여하는 작업에 대한 중복 리소스 ARN (arn:aws:s3:::aws-glue-*/*) 를 제거했습니다.

"StringEquals""ForAnyValue:StringLike"로 변경하여 구문 문제를 수정하고, 순서가 어긋난 각 위치에서 "Effect": "Allow" 줄을 "Action": 줄 앞으로 이동했습니다.

 2021년 7월 15일

AWSGlueConsoleFullAccess - 기존 정책에 대한 업데이트

 스크립트와 임시 파일을 저장하는 데 AWS Glue 사용하는 Amazon S3 버킷에 대한 읽기/쓰기 권한을 부여하는 작업에 대한 중복 리소스 ARN (arn:aws:s3:::aws-glue-*/*) 를 제거했습니다. 2021년 7월 15일

AWS Glue에서 변경 사항 추적 시작

 AWS Glue관리형 정책의 변경 사항 추적을 시작했습니다. AWS 2021년 6월 10일