使用加密的 IAM 政策 DataBrew

该AwsGlueDataBrewS3EncryptedPolicy策略授予代表非管理员用户访问用 AWS Key Management Service (AWS KMS) 加密的 S3 对象所需的权限。

按如下方式自定义策略：

替换策略中的 Amazon S3 路径，使其指向您要使用的路径。在示例文本中，BUCKET-NAME-1/SPECIFIC-OBJECT-NAME表示特定的对象或文件。 BUCKET-NAME-2/表示路径名以开头的所有对象 (*) BUCKET-NAME-2/。更新它们以命名您正在使用的存储桶。
（可选）在 Amazon S3 路径中使用通配符进一步限制权限。有关更多信息，请参阅 IAM policy 元素：变量和标签。

作为执行此操作的一部分，您可以限制操作s3:PutObject和的权限s3:PutBucketCORS。只有创建 DataBrew 项目的用户才需要这些操作，因为这些用户需要能够将输出文件发送到 S3。

要了解更多信息并查看您可以向 Amazon S3 的 IAM 策略添加内容的一些示例，请参阅存储桶策略示例。

在ToUseKms文件中找到以下资源 ARN。


  "arn:aws:kms:AWS-REGION-NAME:AWS-ACCOUNT-ID-WITHOUT-DASHES:key/KEY-IDS",
"arn:aws:kms:AWS-REGION-NAME:AWS-ACCOUNT-ID-WITHOUT-DASHES:key/KEY-IDS"

将示例 AWS 账户更改为您的 AWS 账号（不含连字符）。
更改示例列表，改为列出您要使用的 IAM 角色。我们建议您将 IAM 策略的范围限定为尽可能小的权限集。但是，您可以允许您的用户访问所有 IAM 角色，例如，如果您使用的是包含示例数据的个人学习账户。要允许列表访问所有 IAM 角色，请将示例列表更改为一个条目："arn:aws:iam::111122223333:role/*"。

下表描述了此策略授予的权限。

操作	资源	描述
`"s3:GetObject"`	`"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"`	允许您预览文件。
`"s3:ListBucket"`	`"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"`	允许通过项目、数据集和任务列示 Amazon S3 存储桶。
`"s3:PutObject"`	`"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"`	允许将输出文件发送到 S3。
`"s3:DeleteObject"`	`"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"`	允许删除由创建的对象 DataBrew。
`"kms:Decrypt"`	`"arn:aws:kms:::key/key_ids"`	允许对加密的数据集进行解密。
`"kms:GenerateDataKey*"`	`"arn:aws:kms:::key/key_ids"`	允许对任务输出进行加密。

下载 AwsGlueDataBrewS3EncryptedPolicyIAM 策略的 JSON。
登录到， AWS Management Console 然后通过以下网址打开 IAM 控制台：https://console.aws.amazon.com/iam/。
在导航窗格中，选择策略。
对于每个策略，选择创建策略。
在 “创建策略” 屏幕上，导航到 JSON 选项卡。
在编辑器中将策略 JSON 语句粘贴到示例语句上。
确认该政策是根据您的账户、安全要求和所需 AWS 资源定制的。如果需要进行更改，可以在编辑器中进行更改，可以在编辑器中进行更改。
选择查看策略。

运行以下命令创建策略。


aws iam create-policy --policy-name AwsGlueDataBrewS3EncryptedPolicy --policy-document file://iam-policy-AwsGlueDataBrewS3EncryptedPolicy.json

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

适用于 S3 的 IAM 策略

添加具有 DataBrew 权限的用户和群组