AWS políticas gerenciadas (predefinidas) para AWS Glue Atualizações da política

Concedendo políticas AWS gerenciadas para AWS o Glue

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova Serviço da AWS é lançada ou novas API operações são disponibilizadas para os serviços existentes.

Para obter mais informações, consulte políticas AWS gerenciadas no Guia IAM do usuário.

AWS políticas gerenciadas (predefinidas) para AWS Glue

AWS aborda muitos casos de uso comuns fornecendo IAM políticas autônomas que são criadas e administradas pela AWS. Essas políticas AWS gerenciadas concedem as permissões necessárias para casos de uso comuns, para que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte políticas AWS gerenciadas no Guia IAM do usuário.

As seguintes políticas AWS gerenciadas, que você pode anexar às identidades em sua conta, são específicas AWS Glue e estão agrupadas por cenário de caso de uso:

AWSGlueConsoleFullAccess— Concede acesso total aos AWS Glue recursos quando uma identidade à qual a política está anexada usa AWS Management Console o. Se você seguir a convenção de nomenclatura para os recursos especificados nesta política, os usuários poderão acessar todos os recursos do console. Esta política geralmente é anexada aos usuários do console do AWS Glue.
AWSGlueServiceRole— Concede acesso aos recursos que vários AWS Glue processos exigem para serem executados em seu nome. Esses recursos incluem AWS Glue Amazon S3IAM, CloudWatch Logs e Amazon. EC2 Se você seguir a convenção de nomenclatura para os recursos especificados nesta política, os processos do AWS Glue terão as permissões necessárias. Esta política geralmente é anexada a funções especificadas durante a definição de crawlers, trabalhos e endpoints de desenvolvimento.
AwsGlueSessionUserRestrictedServiceRole— Fornece acesso total a todos os AWS Glue recursos, exceto às sessões. Permite que os usuários criem e usem somente as sessões interativas associadas ao usuário. Essa política inclui outras permissões necessárias AWS Glue para gerenciar AWS Glue recursos em outros AWS serviços. A política também permite adicionar tags a AWS Glue recursos em outros AWS serviços.

nota
Para obter todos os benefícios de segurança, não conceda esta política a um usuário que tenha atribuída a política AWSGlueServiceRole, AWSGlueConsoleFullAccess ou AWSGlueConsoleSageMakerNotebookFullAccess.
AwsGlueSessionUserRestrictedPolicy— Fornece acesso para criar sessões AWS Glue interativas usando a CreateSession API operação somente se uma chave de tag “proprietário” e um valor que correspondam ao ID de AWS usuário do destinatário forem fornecidos. Essa política de identidade é anexada ao IAM usuário que invoca a CreateSession API operação. Essa política também permite que o destinatário interaja com os recursos da sessão AWS Glue interativa que foram criados com uma tag de “proprietário” e um valor que correspondam à sua ID de usuário. AWS Essa política nega permissão para alterar ou remover tags de "proprietário" de um recurso de sessão do AWS Glue após a criação da sessão.

nota
Para obter todos os benefícios de segurança, não conceda essa política a um usuário que tenha atribuída a política AWSGlueServiceRole, AWSGlueConsoleFullAccess ou AWSGlueConsoleSageMakerNotebookFullAccess.
AwsGlueSessionUserRestrictedNotebookServiceRole— Fornece acesso suficiente à sessão do AWS Glue Studio notebook para interagir com recursos específicos da sessão AWS Glue interativa. Esses são recursos criados com o valor da tag “owner” que corresponde ao ID de AWS usuário do principal (IAMusuário ou função) que cria o notebook. Para obter mais informações sobre essas tags, consulte a tabela de valores-chave principais no Guia IAM do usuário.

Essa política de função de serviço é anexada à função especificada com um comando mágico no notebook ou é passada como uma função para a CreateSession API operação. Essa política também permite que o diretor crie uma sessão AWS Glue interativa a partir da interface do AWS Glue Studio notebook somente se a tag, a chave “proprietário” e o valor corresponderem ao ID de AWS usuário do principal. Essa política nega permissão para alterar ou remover tags de "proprietário" de um recurso de sessão do AWS Glue após a criação da sessão. Essa política também inclui permissões para gravação e leitura de buckets do Amazon S3, gravação de CloudWatch registros e criação e exclusão de tags para recursos da Amazon EC2 usados pelo. AWS Glue

nota
Para obter todos os benefícios de segurança, não conceda essa política a uma função que tenha atribuída a política AWSGlueServiceRole, AWSGlueConsoleFullAccess ou AWSGlueConsoleSageMakerNotebookFullAccess.
AwsGlueSessionUserRestrictedNotebookPolicy— Fornece acesso para criar uma sessão AWS Glue interativa a partir da interface do AWS Glue Studio notebook somente se houver uma tag, chave “proprietário” e um valor que correspondam IDof ao AWS usuário principal (IAMusuário ou função) que cria o notebook. Para obter mais informações sobre essas tags, consulte a tabela de valores-chave principais no Guia IAM do usuário.

Essa política é anexada ao principal (IAMusuário ou função) que cria sessões a partir da interface do AWS Glue Studio notebook. Essa política também permite acesso suficiente ao caderno do AWS Glue Studio para interação com recursos específicos de sessão interativa do AWS Glue. Esses são recursos criados com o valor da tag “owner” que corresponde ao ID de AWS usuário do principal. Essa política nega permissão para alterar ou remover tags de "proprietário" de um recurso de sessão do AWS Glue após a criação da sessão.
AWSGlueServiceNotebookRole— Concede acesso às AWS Glue sessões iniciadas em um AWS Glue Studio caderno. Essa política permite listar e obter informações de sessão para todas as sessões, mas só permite que os usuários criem e usem as sessões marcadas com sua ID de AWS usuário. Essa política nega permissão para alterar ou remover tags de “proprietário” dos recursos da AWS Glue sessão marcados com seu AWS ID.

Atribua essa política ao AWS usuário que cria trabalhos usando a interface do notebook noAWS Glue Studio.
AWSGlueConsoleSageMakerNotebookFullAccess— Concede acesso total ao AWS Glue e aos SageMaker recursos quando a identidade à qual a política está anexada usa AWS Management Console o. Se você seguir a convenção de nomenclatura para os recursos especificados nesta política, os usuários poderão acessar todos os recursos do console. Essa política geralmente é anexada aos usuários do AWS Glue console que gerenciam SageMaker notebooks.
AWSGlueSchemaRegistryFullAccess— Concede acesso total aos recursos do AWS Glue Schema Registry quando a identidade à qual a política está anexada usa o AWS Management Console ou AWS CLI. Se você seguir a convenção de nomenclatura para os recursos especificados nesta política, os usuários poderão acessar todos os recursos do console. Essa política geralmente é anexada aos usuários do AWS Glue console ou AWS CLI que gerenciam o Registro do AWS Glue Esquema.
AWSGlueSchemaRegistryReadonlyAccess— Concede acesso somente para leitura aos recursos do AWS Glue Schema Registry quando uma identidade à qual a política está anexada usa o ou. AWS Management Console AWS CLI Se você seguir a convenção de nomenclatura para os recursos especificados nesta política, os usuários poderão acessar todos os recursos do console. Essa política geralmente é anexada aos usuários do AWS Glue console ou AWS CLI que usam o Registro do AWS Glue Esquema.

nota

Você pode revisar essas políticas de permissões fazendo login no IAM console e pesquisando políticas específicas nele.

Você também pode criar suas próprias IAM políticas personalizadas para permitir permissões para ações e recursos do AWS Glue. Você pode anexar essas políticas personalizadas aos IAM usuários ou grupos que exigem essas permissões.

AWS Glue atualizações em políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do AWS Glue desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página de histórico do AWS Glue Document.

Alteração	Descrição	Data
AwsGlueSessionUserRestrictedPolicy — Pequena atualização em uma política existente.	Adicione permissão para a ação `glue:TagResource` na chave da tag do proprietário. Necessário para suporte em tag-on-create sessões com a chave da etiqueta do proprietário.	5 de agosto de 2024
AwsGlueSessionUserRestrictedServiceRole — Pequena atualização em uma política existente.	Adicione permissão para a ação `glue:TagResource` na chave da tag do proprietário. Necessário para suporte em tag-on-create sessões com a chave da etiqueta do proprietário.	5 de agosto de 2024
AwsGlueSessionUserRestrictedPolicy — Pequena atualização em uma política existente.	Adicione `glue:StartCompletion` e `glue:GetCompletion` à política. Necessário para a integração de dados do Amazon Q no AWS Glue.	30 de abril de 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Pequena atualização em uma política existente.	Adicione `glue:StartCompletion` e `glue:GetCompletion` à política. Necessário para a integração de dados do Amazon Q no AWS Glue.	30 de abril de 2024
AwsGlueSessionUserRestrictedServiceRole — Pequena atualização em uma política existente.	Adicione `glue:StartCompletion` e `glue:GetCompletion` à política. Necessário para a integração de dados do Amazon Q no AWS Glue.	30 de abril de 2024
AWSGlueServiceNotebookRole— Pequena atualização em uma política existente.	Adicione `glue:StartCompletion` e `glue:GetCompletion` à política. Necessário para a integração de dados do Amazon Q no AWS Glue.	30 de janeiro de 2024
AwsGlueSessionUserRestrictedNotebookPolicy — Pequena atualização em uma política existente.	Adicione `glue:StartCompletion` e `glue:GetCompletion` à política. Necessário para a integração de dados do Amazon Q no AWS Glue.	29 de novembro de 2023
AWSGlueServiceNotebookRole— Pequena atualização em uma política existente.	Adicionar `codewhisperer:GenerateRecommendations` à política. Necessário para um novo recurso em que o AWS Glue gera CodeWhisperer recomendações.	9 de outubro de 2023
AWSGlueServiceRole— Pequena atualização em uma política existente.	Aumente o escopo das CloudWatch permissões para refletir melhor o registro do AWS Glue.	4 de agosto de 2023
AWSGlueConsoleFullAccess— Pequena atualização em uma política existente.	Adicione uma lista de fórmulas de `databrew` e descreva as permissões à política. Necessário para fornecer acesso administrativo total aos novos recursos em que o AWS Glue possa acessar receitas.	9 de maio de 2023
AWSGlueConsoleFullAccess— Pequena atualização em uma política existente.	Adicionar `cloudformation:ListStacks` à política. Preserva os recursos existentes após alterações nos requisitos de AWS CloudFormation autorização.	28 de março de 2023
Adicionadas novas políticas gerenciadas para o recurso de sessões interativas: AwsGlueSessionUserRestrictedServiceRole AwsGlueSessionUserRestrictedPolicy AwsGlueSessionUserRestrictedNotebookServiceRole AwsGlueSessionUserRestrictedNotebookPolicy	Essas políticas visam fornecer segurança adicional para sessões interativas e cadernos no AWS Glue Studio. As políticas restringem o acesso à `CreateSession` API operação para que somente o proprietário tenha acesso.	30 de novembro de 2021
AWSGlueConsoleSageMakerNotebookFullAccess: atualizar para uma política existente.	Foi removido um recurso redundante ARN (`arn:aws:s3:::aws-glue-/`) para a ação que concede permissões de leitura/gravação em buckets do Amazon S3 AWS Glue usados para armazenar scripts e arquivos temporários. Corrigido um problema de sintaxe alterando `"StringEquals"` para `"ForAnyValue:StringLike"`, e movidas as linhas `"Effect": "Allow"` para precederem oa linha `"Action":` em cada lugar em que elas estavam fora de ordem.	15 de julho de 2021
AWSGlueConsoleFullAccess: atualizar para uma política existente.	Foi removido um recurso redundante ARN (`arn:aws:s3:::aws-glue-/`) para a ação que concede permissões de leitura/gravação em buckets do Amazon S3 AWS Glue usados para armazenar scripts e arquivos temporários.	15 de julho de 2021
O AWS Glue começo a rastrear alterações.	AWS Gluecomeçou a rastrear as mudanças em suas políticas AWS gerenciadas.	10 de junho de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos de políticas baseadas em atributos

Especificando o recurso AWS Glue ARNs