As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conceder políticas gerenciadas pela AWS para o AWS Glue
Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.
Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da específicas para seus casos de uso.
Você não pode alterar as permissões definidas em políticas gerenciadas AWS. Se AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.
Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.
Políticas gerenciadas pela AWS (predefinidas) para o AWS Glue
A AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. Essas políticas gerenciadas pela AWS concedem as permissões indispensáveis para casos de uso comuns para que você não precise investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.
As seguintes políticas gerenciadas pela AWS, que você pode anexar a identidades na sua conta, são específicas do AWS Glue e são agrupadas por cenário de caso de uso:
-
AWSGlueConsoleFullAccess
: concede acesso total aos recursos do AWS Gluequando uma identidade à qual a política está anexada usa o AWS Management Console. Se você seguir a convenção de nomenclatura para os recursos especificados nesta política, os usuários poderão acessar todos os recursos do console. Esta política geralmente é anexada aos usuários do console do AWS Glue. -
AWSGlueServiceRole
– Concede acesso a recursos que vários processos do AWS Glue exigem para fazer a execução em seu nome. Esses recursos incluem o AWS Glue, Amazon S3, IAM, CloudWatch Logs e Amazon EC2. Se você seguir a convenção de nomenclatura para os recursos especificados nesta política, os processos do AWS Glue terão as permissões necessárias. Esta política geralmente é anexada a funções especificadas durante a definição de crawlers, trabalhos e endpoints de desenvolvimento. -
AwsGlueSessionUserRestrictedServiceRole
: fornece acesso total a todos os recursos do AWS Glue, exceto para sessões. Permite que os usuários criem e usem somente as sessões interativas associadas ao usuário. Essa política também inclui outras permissões exigidas pelo AWS Glue para gerenciar recursos do AWS Glue em outros serviços da AWS. A política também permite adicionar tags aos recursos do AWS Glue em outros serviços da AWS. nota
Para obter todos os benefícios de segurança, não conceda esta política a um usuário que tenha atribuída a política
AWSGlueServiceRole
,AWSGlueConsoleFullAccess
ouAWSGlueConsoleSageMakerNotebookFullAccess
. -
AwsGlueSessionUserRestrictedPolicy
: só fornece acesso para criar sessões interativas do AWS Glue usando a operação de API CreateSession
se uma chave de tag “owner” e um valor que corresponda ao ID de usuário da AWS do usuário designado forem fornecidos. Essa política de identidade está anexada ao usuário do IAM que invoca a operação de APICreateSession
. Esta política também permite que o usuário designado interaja com os recursos de sessão interativa do AWS Glue que foram criados com uma tag “owner” e um valor que corresponde ao ID de usuário AWS. Essa política nega permissão para alterar ou remover tags de "proprietário" de um recurso de sessão do AWS Glue após a criação da sessão.nota
Para obter todos os benefícios de segurança, não conceda essa política a um usuário que tenha atribuída a política
AWSGlueServiceRole
,AWSGlueConsoleFullAccess
ouAWSGlueConsoleSageMakerNotebookFullAccess
. -
AWSGlueSessionUserRestrictedNotebookServiceRole
: fornece acesso suficiente à sessão do caderno do AWS Glue Studio para interagir com recursos específicos de sessão interativa do AWS Glue. Esses são recursos criados com a tag “owner” e o valor que corresponde ao ID de usuário da AWS da entidade principal (usuário ou perfil do IAM) que cria o caderno. Para obter mais informações sobre essas tags, consulte o gráfico Valores de chave da entidade principal no Guia do usuário do IAM. Essa política de perfil de serviço é anexada ao perfil especificado com um comando magic no caderno ou é passado como um perfil para a operação de API
CreateSession
. Essa política também permite que a entidade principal crie uma sessão interativa do AWS Glue na interface do caderno do AWS Glue Studio se uma chave de tag “owner” e valor corresponderem ao ID do usuário da AWS da entidade principal. Essa política nega permissão para alterar ou remover tags de "proprietário" de um recurso de sessão do AWS Glue após a criação da sessão. Essa política também inclui permissões para gravação e leitura de buckets do Amazon S3, gravação de logs do CloudWatch, criação e exclusão de tags para recursos do Amazon EC2 usados pelo AWS Glue.nota
Para obter todos os benefícios de segurança, não conceda essa política a uma função que tenha atribuída a política
AWSGlueServiceRole
,AWSGlueConsoleFullAccess
ouAWSGlueConsoleSageMakerNotebookFullAccess
. -
AwsGlueSessionUserRestrictedNotebookPolicy
: só fornece acesso para criação de um sessão interativa do AWS Glue na interface do caderno do AWS Glue Studio se houver uma chave de tag “owner” e um valor que corresponda ao ID do usuário da AWS da entidade principal (usuário ou perfil do IAM) que cria o caderno. Para obter mais informações sobre essas tags, consulte o gráfico Valores de chave da entidade principal no Guia do usuário do IAM. Essa política é anexada à entidade principal (usuário ou perfil do IAM) que cria sessões na interface do caderno do AWS Glue Studio. Essa política também permite acesso suficiente ao caderno do AWS Glue Studio para interação com recursos específicos de sessão interativa do AWS Glue. Esses são recursos criados com a tag “owner” e o valor que corresponde ao ID de usuário da AWS da entidade principal. Essa política nega permissão para alterar ou remover tags de "proprietário" de um recurso de sessão do AWS Glue após a criação da sessão.
-
AWSGlueServiceNotebookRole
: concede acesso a sessões do AWS Glue iniciadas em um caderno do AWS Glue Studio. Essa política permite listar e obter informações de sessão para todas as sessões, mas só permite que os usuários criem e usem as sessões marcadas com seus IDs de usuário da AWS. Essa política nega permissão para alterar ou remover tags “owner” de recursos de sessão do AWS Glue marcados com seus IDs da AWS. Atribua essa política ao usuário da AWS que cria trabalhos usando a interface do notebook no AWS Glue Studio.
-
AWSGlueConsoleSageMakerNotebookFullAccess
: concede total acesso aos recursos do AWS Glue e do SageMaker quando a identidade à qual a política está anexada usa o AWS Management Console. Se você seguir a convenção de nomenclatura para os recursos especificados nesta política, os usuários poderão acessar todos os recursos do console. Essa política geralmente é anexada aos usuários do console do AWS Glue que gerenciam notebooks do SageMaker. -
AWSGlueSchemaRegistryFullAccess
: concede total acesso aos recursos do registro de esquemas do AWS Glue quando a identidade à qual a política está anexada usa o AWS Management Console ou a AWS CLI. Se você seguir a convenção de nomenclatura para os recursos especificados nesta política, os usuários poderão acessar todos os recursos do console. Essa política geralmente é anexada aos usuários do console ou da AWS Glue do AWS CLI que gerenciam o registro de esquemas do AWS Glue. -
AWSGlueSchemaRegistryReadonlyAccess
: concede acesso somente de leitura a recursos do registro de esquemas do AWS Glue quando uma identidade à qual a política está anexada usa o AWS Management Console ou a AWS CLI. Se você seguir a convenção de nomenclatura para os recursos especificados nesta política, os usuários poderão acessar todos os recursos do console. Essa política geralmente é anexada aos usuários do console do AWS Glue ou da AWS CLI que usam o registro de esquemas do AWS Glue.
nota
É possível analisar essas políticas de permissões fazendo login no console do IAM e pesquisando políticas específicas.
Você também pode criar suas próprias políticas do IAM personalizadas a fim de conceder permissões para ações e recursos do AWS Glue. Você pode anexar essas políticas personalizadas a usuários ou grupos do IAM que exijam essas permissões.
Atualizações do AWS Glue para políticas gerenciadas pela AWS
Visualize detalhes sobre atualizações em políticas gerenciadas pela AWS para o AWS Glue desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, assine o feed RSS na página de histórico de documentos do AWS Glue.
Alteração | Descrição | Data |
---|---|---|
AWSGlueSessionUserRestrictedNotebookPolicy: atualização mínima em uma política existente. | Adicione permissão para a ação glue:TagResource na chave da tag do proprietário. Necessário para compatibilidade com tag durante a criação para sessões com a chave da tag do proprietário. |
30 de agosto de 2024 |
AwsGlueSessionUserRestrictedNotebookServiceRole: atualização secundária a uma política existente. | Adicione permissão para a ação glue:TagResource na chave da tag do proprietário. Necessário para compatibilidade com tag durante a criação para sessões com a chave da tag do proprietário. |
30 de agosto de 2024 |
AwsGlueSessionUserRestrictedPolicy: atualização secundária a uma política existente. | Adicione permissão para a ação glue:TagResource na chave da tag do proprietário. Necessário para compatibilidade com tag durante a criação para sessões com a chave da tag do proprietário. |
5 de agosto de 2024 |
AwsGlueSessionUserRestrictedServiceRole: atualização secundária a uma política existente. | Adicione permissão para a ação glue:TagResource na chave da tag do proprietário. Necessário para compatibilidade com tag durante a criação para sessões com a chave da tag do proprietário. |
5 de agosto de 2024 |
AwsGlueSessionUserRestrictedPolicy: atualização secundária a uma política existente. | Adicione glue:StartCompletion e glue:GetCompletion à política. Necessário para a integração de dados do Amazon Q no AWS Glue. |
30 de abril de 2024 |
AwsGlueSessionUserRestrictedNotebookServiceRole: atualização secundária a uma política existente. | Adicione glue:StartCompletion e glue:GetCompletion à política. Necessário para a integração de dados do Amazon Q no AWS Glue. |
30 de abril de 2024 |
AwsGlueSessionUserRestrictedServiceRole: atualização secundária a uma política existente. | Adicione glue:StartCompletion e glue:GetCompletion à política. Necessário para a integração de dados do Amazon Q no AWS Glue. |
30 de abril de 2024 |
AWSGlueServiceNotebookRole: atualização menor para uma política existente. | Adicione glue:StartCompletion e glue:GetCompletion à política. Necessário para a integração de dados do Amazon Q no AWS Glue. |
30 de janeiro de 2024 |
AWSGlueSessionUserRestrictedNotebookPolicy: atualização mínima em uma política existente. | Adicione glue:StartCompletion e glue:GetCompletion à política. Necessário para a integração de dados do Amazon Q no AWS Glue. |
29 de novembro de 2023 |
AWSGlueServiceNotebookRole: atualização menor para uma política existente. | Adicionar codewhisperer:GenerateRecommendations à política. Necessário para um novo recurso em que o Glue gera AWS recomendações do CodeWhisperer. |
9 de outubro de 2023 |
AWSGlueServiceRole: atualização menor para uma política existente. |
Aumente o escopo das permissões do CloudWatch para refletir melhor o registro em log do AWS Glue. | 4 de agosto de 2023 |
AWSGlueConsoleFullAccess: atualização menor para uma política existente. |
Adicione uma lista de fórmulas de databrew e descreva as permissões à política. Necessário para fornecer acesso administrativo total aos novos atributos em que o AWS Glue possa acessar fórmulas. |
9 de maio de 2023 |
AWSGlueConsoleFullAccess: atualização menor para uma política existente. |
Adicionar cloudformation:ListStacks à política. Preserva os recursos existentes após alterações nos requisitos de autorização do AWS CloudFormation. |
28 de março de 2023 |
Adicionadas novas políticas gerenciadas para o recurso de sessões interativas:
|
Essas políticas visam fornecer segurança adicional para sessões interativas e cadernos no AWS Glue Studio. As políticas restringem o acesso à operação de API |
30 de novembro de 2021 |
AWSGlueConsoleSageMakerNotebookFullAccess: atualização para uma política existente. |
Removido um ARN de recurso redundante ( Corrigido um problema de sintaxe alterando |
15 de julho de 2021 |
AWSGlueConsoleFullAccess: atualização para uma política existente. |
Removido um ARN de recurso redundante (arn:aws:s3:::aws-glue-*/* ) para a ação que concede permissões de leitura/gravação nos buckets do Amazon S3 que o AWS Glue usa para armazenar scripts e arquivos temporários. |
15 de julho de 2021 |
O AWS Glue começo a rastrear alterações. |
O AWS Glue começou a monitorar as alterações para as políticas gerenciadas da AWS. | 10 de junho de 2021 |