AWS Glue에 대한 AWS 관리형 정책 부여
AWS 관리형 정책은 AWS에 의해 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 ID(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새 AWS 서비스을(를) 시작하거나 새 API 작업을 기존 서비스에 이용하는 경우, AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.
AWS Glue에 대한 AWS 관리형(미리 정의된) 정책
AWS는 AWS에서 생성하고 관리하는 독립형 IAM 정책을 제공하여 많은 일반 사용 사례를 처리합니다. 이러한 AWS 관리형 정책은 사용자가 필요한 권한을 조사할 필요가 없도록 일반 사용 사례에 필요한 권한을 부여합니다. 자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.
계정의 자격 증명에 연결할 수 있는 다음 AWS 관리형 정책은 AWS Glue에 고유하며, 사용 사례 시나리오를 기준으로 그룹화되어 있습니다.
-
AWSGlueConsoleFullAccess
- 정책이 연결된 자격 증명이 AWS Management Console을 사용하는 경우 AWS Glue 리소스에 대한 전체 액세스 권한을 부여합니다. 이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 보통 AWS Glue 콘솔의 사용자에게 해당됩니다. -
AWSGlueServiceRole
– 다양한 AWS Glue 프로세스를 대신 실행하는 데 필요한 리소스에 대한 액세스 권한을 부여합니다. 이러한 리소스에는 AWS Glue, Amazon S3, IAM, CloudWatch Logs 및 Amazon EC2가 포함됩니다. 이 정책에 지정된 리소스의 이름 변환을 따르고자 한다면 AWS Glue 절차는 필요한 권한을 소유합니다. 이 정책은 크롤러, 작업 및 개발 엔드포인트를 정의할 때 지정된 역할에 일반적으로 추가됩니다. -
AwsGlueSessionUserRestrictedServiceRole
– 세션을 제외한 모든 AWS Glue 리소스에 대한 전체 액세스 권한을 제공합니다. 사용자와 연결된 대화형 세션만 사용자가 생성하고 사용할 수 있도록 허용합니다. 이 정책에는 다른 AWS 서비스에서 AWS Glue 리소스를 관리하는 데 AWS Glue에서 필요한 기타 권한이 포함됩니다. 또한 이 정책은 다른 AWS 서비스의 AWS Glue 리소스에 태그를 추가할 수 있도록 허용합니다. 참고
전체 보안 이점을 얻으려면
AWSGlueServiceRole,AWSGlueConsoleFullAccess또는AWSGlueConsoleSageMakerNotebookFullAccess정책이 할당된 사용자에게 이 정책을 부여하지 않습니다. -
AwsGlueSessionUserRestrictedPolicy
– 태그 키 'owner' 및 담당자의 AWS 사용자 ID와 일치하는 값이 제공된 경우에만 CreateSessionAPI 작업을 사용하여 AWS Glue 대화형 세션을 생성할 수 있는 액세스 권한을 제공합니다. 이 자격 증명 정책은CreateSessionAPI 작업을 호출하는 IAM 사용자에게 연결됩니다. 또한 이 정책은 'owner' 태그 및 AWS 사용자 ID와 일치하는 값으로 생성된 AWS Glue 대화형 세션 리소스를 담당자가 조작할 수 있도록 허용합니다. 이 정책은 세션이 생성된 후 AWS Glue 세션 리소스에서 'owner' 태그를 변경하거나 제거할 수 있는 권한을 거부합니다.참고
전체 보안 이점을 얻으려면
AWSGlueServiceRole,AWSGlueConsoleFullAccess또는AWSGlueConsoleSageMakerNotebookFullAccess정책이 할당된 사용자에게 이 정책을 부여하지 않습니다. -
AwsGlueSessionUserRestrictedNotebookServiceRole
- AWS Glue Studio 노트북 세션에 대해 충분한 액세스 권한을 제공하여 특정 AWS Glue 대화형 세션 리소스와 상호 작용합니다. 노트북을 생성하는 보안 주체(IAM 사용자 또는 역할)의 AWS 사용자 ID와 일치하는 'owner' 태그 값으로 생성된 리소스입니다. 이러한 태그에 대한 자세한 내용은 IAM 사용 설명서의 보안 주체 키 값 차트를 참조하세요. 이 서비스-역할 정책은 노트북 내에서 매직 명령문으로 지정되었거나
CreateSessionAPI 작업에 역할로 전달된 역할에 연결됩니다. 또한 이 정책은 태그 키 'owner' 및 보안 주체의 AWS 사용자 ID와 일치하는 값이 제공된 경우에만 보안 주체가 AWS Glue Studio 노트북 인터페이스에서 AWS Glue 대화형 세션을 생성할 수 있도록 허용합니다. 이 정책은 세션이 생성된 후 AWS Glue 세션 리소스에서 'owner' 태그를 변경하거나 제거할 수 있는 권한을 거부합니다. 이 정책에는 Amazon S3 버킷에서 읽고 쓰기, CloudWatch 로그 쓰기, AWS Glue에서 사용되는 Amazon EC2 리소스에 대한 태그 생성 및 삭제 권한도 포함됩니다.참고
전체 보안 이점을 얻으려면
AWSGlueServiceRole,AWSGlueConsoleFullAccess또는AWSGlueConsoleSageMakerNotebookFullAccess정책이 할당된 역할에 이 정책을 부여하지 않습니다. -
AwsGlueSessionUserRestrictedNotebookPolicy
– 태그 키 'owner' 및 노트북을 생성하는 보안 주체(IAM 사용자 또는 역할)의 AWS 사용자 ID와 일치하는 값이 있는 경우에만 AWS Glue Studio 노트북 인터페이스에서 AWS Glue 대화형 세션을 생성할 수 있는 액세스 권한을 제공합니다. 이러한 태그에 대한 자세한 내용은 IAM 사용 설명서의 보안 주체 키 값 차트를 참조하세요. 이 정책은 AWS Glue Studio 노트북 인터페이스에서 세션을 생성하는 보안 주체(IAM 사용자 또는 역할)에 연결됩니다. 또한 이 정책은 AWS Glue Studio 노트북에 충분히 액세스하여 특정 AWS Glue 대화형 세션 리소스와 상호 작용할 수 있도록 허용합니다. 이러한 리소스는 보안 주체의 AWS 사용자 ID와 일치하는 'owner' 태그 값으로 생성됩니다. 이 정책은 세션이 생성된 후 AWS Glue 세션 리소스에서 'owner' 태그를 변경하거나 제거할 수 있는 권한을 거부합니다.
-
AWSGlueServiceNotebookRole
– AWS Glue Studio 노트북에서 시작된 AWS Glue 세션에 액세스 권한을 부여합니다. 이 정책은 모든 세션에 대한 세션 정보를 나열하고 가져올 수 있도록 허용하지만 사용자가 AWS 사용자 ID로 태깅된 세션을 생성하고 사용할 수 있도록만 허용합니다. 이 정책은 AWS ID로 태깅된 AWS Glue 세션 리소스에서 'owner' 태그를 변경하거나 제거할 수 있는 권한을 거부합니다. AWS Glue Studio에서 노트북 인터페이스를 사용하여 작업을 생성하는 AWS 사용자에게 이 정책을 할당합니다.
-
AWSGlueConsoleSageMakerNotebookFullAccess
– 정책이 연결된 자격 증명이 AWS Management Console을 사용할 때 AWS Glue 및 SageMaker AI 리소스에 대한 전체 액세스 권한을 부여합니다. 이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 일반적으로 SageMaker AI 노트북을 관리하는 AWS Glue 콘솔의 사용자에게 연결됩니다. -
AWSGlueSchemaRegistryFullAccess
– 정책이 연결된 자격 증명이 AWS Management Console 또는 AWS CLI를 사용할 때 AWS Glue Schema Registry 리소스에 대한 전체 액세스 권한을 부여합니다. 이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 일반적으로 AWS Glue Schema Registry를 관리하는 AWS Glue 콘솔 또는 AWS CLI의 사용자에게 연결됩니다. -
AWSGlueSchemaRegistryReadonlyAccess
– 정책이 연결된 자격 증명이 AWS Management Console 또는 AWS CLI를 사용할 때 AWS Glue Schema Registry 리소스에 대한 읽기 전용 액세스 권한을 부여합니다. 이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 일반적으로 AWS Glue Schema Registry를 사용하는 AWS Glue 콘솔 또는 AWS CLI의 사용자에게 연결됩니다.
참고
IAM 콘솔에 로그인하고 이 콘솔에서 특정 정책을 검색하여 이러한 권한 정책을 검토할 수 있습니다.
AWS Glue 작업 및 리소스에 대한 권한을 허용하는 고유의 사용자 정의 IAM 정책을 생성할 수도 있습니다. 해당 권한이 필요한 IAM 사용자 또는 그룹에 이러한 사용자 지정 정책을 연결할 수 있습니다.
AWS 관리형 정책에 대한 AWS Glue 업데이트
이 서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 AWS Glue의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS Glue 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
| AwsGlueSessionUserRestrictedNotebookPolicy – 기존 정책에 대한 간단한 업데이트입니다. | 소유자 태그 키에 glue:TagResource 작업 허용을 추가합니다. 소유자 태그 키가 있는 세션의 생성 시 태깅을 지원하는 데 필요합니다. |
2024년 8월 30일 |
| AwsGlueSessionUserRestrictedNotebookServiceRole - 기존 정책에 대한 마이너 업데이트 | 소유자 태그 키에 glue:TagResource 작업 허용을 추가합니다. 소유자 태그 키가 있는 세션의 생성 시 태깅을 지원하는 데 필요합니다. |
2024년 8월 30일 |
| AWSGlueServiceServiceServiceRole — 기존 정책에 대한 마이너 업데이트 | 소유자 태그 키에 glue:TagResource 작업 허용을 추가합니다. 소유자 태그 키가 있는 세션의 생성 시 태깅을 지원하는 데 필요합니다. |
2024년 8월 5일 |
| AwsGlueSessionUserRestrictedServiceRole — 기존 정책에 대한 마이너 업데이트 | 소유자 태그 키에 glue:TagResource 작업 허용을 추가합니다. 소유자 태그 키가 있는 세션의 생성 시 태깅을 지원하는 데 필요합니다. |
2024년 8월 5일 |
| AWSGlueServiceServiceServiceRole — 기존 정책에 대한 마이너 업데이트 | glue:StartCompletion 및 glue:GetCompletion을 정책에 추가합니다. AWS Glue에서의 Amazon Q 데이터 통합에 필요합니다. |
2024년 4월 30일 |
| AwsGlueSessionUserRestrictedNotebookServiceRole - 기존 정책에 대한 마이너 업데이트 | glue:StartCompletion 및 glue:GetCompletion을 정책에 추가합니다. AWS Glue에서의 Amazon Q 데이터 통합에 필요합니다. |
2024년 4월 30일 |
| AwsGlueSessionUserRestrictedServiceRole — 기존 정책에 대한 마이너 업데이트 | glue:StartCompletion 및 glue:GetCompletion을 정책에 추가합니다. AWS Glue에서의 Amazon Q 데이터 통합에 필요합니다. |
2024년 4월 30일 |
| AWSGlueServiceNotebookRole - 기존 정책에 대한 마이너 업데이트. | glue:StartCompletion 및 glue:GetCompletion을 정책에 추가합니다. AWS Glue에서의 Amazon Q 데이터 통합에 필요합니다. |
2024년 1월 30일 |
| AwsGlueSessionUserRestrictedNotebookPolicy – 기존 정책에 대한 간단한 업데이트입니다. | glue:StartCompletion 및 glue:GetCompletion을 정책에 추가합니다. AWS Glue에서의 Amazon Q 데이터 통합에 필요합니다. |
2023년 11월 29일 |
| AWSGlueServiceNotebookRole - 기존 정책에 대한 마이너 업데이트. | codewhisperer:GenerateRecommendations를 정책에 추가합니다. AWS Glue가 CodeWhisperer 권장 사항을 생성하는 새 기능에 필요합니다. |
2023년 10월 9일 |
|
AWSGlueServiceRole – 기존 정책에 대한 마이너 업데이트. |
AWS Glue 로깅을 더 잘 반영하도록 CloudWatch 권한 범위를 좁힙니다. | 2023년 8월 4일 |
|
AWSGlueConsoleFullAccess – 기존 정책에 대한 마이너 업데이트. |
databrew 레시피 나열 및 설명 권한을 정책에 추가합니다. AWS Glue에서 레시피에 액세스할 수 있는 경우 새 기능에 대한 전체 관리 액세스 권한을 제공하는 데 필요합니다. |
2023년 5월 9일 |
|
AWSGlueConsoleFullAccess – 기존 정책에 대한 마이너 업데이트. |
cloudformation:ListStacks를 정책에 추가합니다. AWS CloudFormation 인증 요구 사항이 변경된 후에도 기존 기능을 유지합니다. |
2023년 3월 28일 |
|
대화형 세션 기능에 대해 추가된 새로운 관리형 정책:
|
이러한 정책은 AWS Glue Studio에서 대화형 세션과 노트북에 대한 추가 보안을 제공하도록 설계되었습니다. 소유자만 액세스할 수 있도록 정책에서 |
2021년 11월 30일 |
|
AWSGlueConsoleSageMakerNotebookFullAccess – 기존 정책 업데이트 |
AWS Glue가 스크립트 및 임시 파일을 저장하는 데 사용하는 Amazon S3 버킷에 대한 읽기/쓰기 권한을 부여하는 작업에 대한 중복 리소스 ARN(
|
2021년 7월 15일 |
|
AWSGlueConsoleFullAccess – 기존 정책 업데이트 |
arn:aws:s3:::aws-glue-*/*가 스크립트 및 임시 파일을 저장하는 데 사용하는 Amazon S3 버킷에 대한 읽기/쓰기 권한을 부여하는 작업에 대한 중복 리소스 ARN(AWS Glue)을 제거했습니다. |
2021년 7월 15일 |
|
AWS Glue에서 변경 사항 추적 시작 |
AWS Glue에서 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2021년 6월 10일 |
