授與 AWS Glue 的 AWS 受管理原則 - AWS Glue

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授與 AWS Glue 的 AWS 受管理原則

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。

請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新API作業可供現有服務使 AWS 服務 用時,最有可能更新 AWS 受管理的策略。

如需詳細資訊,請參閱IAM使用指南中的AWS 受管理策略

AWS 的管理 (預先定義) 策略 AWS Glue

AWS 透過提供由建立和管理的獨立IAM原則來解決許多常見使用案例 AWS。這些 AWS 受管理的政策會為常見使用案例授與必要的權限,因此您可以避免調查需要哪些權限。如需詳細資訊,請參閱IAM使用指南中的AWS 受管理策略

下列 AWS 受管理的原則 (您可以附加至帳戶中的身分識別) 屬於使用案例,AWS Glue並依使用案例分組:

  • AWSGlueConsoleFullAccess— 當附加原則的身分使用時,授與對AWS Glue資源的完整存取權 AWS Management Console。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常會連接至 AWS Glue 主控台的使用者。

  • AWSGlueServiceRole— 授予對代表您執行各種AWS Glue程序所需之資源的存取權。這些資源包括 AWS Glue Amazon S3IAM, CloudWatch 日誌和 Amazon EC2。如果您依照此政策中指定的資源命名慣例,AWS Glue 程序就能擁有必要的許可。此政策通常會連接至定義爬蟲程式、工作和開發端點時所指定的角色。

  • AwsGlueSessionUserRestrictedServiceRole— 提供對工作階段以外的所有AWS Glue資源的完整存取權。其允許使用者建立並僅使用與使用者相關聯的互動式工作階段。此原則包含管理其他 AWS 服務中AWS Glue資源所需的其他權限。AWS Glue該策略還允許向其他 AWS 服務中的AWS Glue資源添加標籤。

    注意

    若要達到完整的安全性優點,請勿將此政策授予已指派 AWSGlueServiceRoleAWSGlueConsoleFullAccessAWSGlueConsoleSageMakerNotebookFullAccess 政策的使用者。

  • AwsGlueSessionUserRestrictedPolicy— 僅在提供與受指派人使用者 ID 相符的標籤金鑰「owner」和值時,才能存取使 AWS 用該CreateSessionAPI作業建立AWS Glue互動式工作階段。此識別原則會附加至呼叫CreateSessionAPI作業的IAM使用者。此原則也允許工作負責人與 AWS 使用者 ID 相符的「owner」標籤和值建立的AWS Glue互動式工作階段資源互動。建立工作階段之後,此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。

    注意

    若要達到完整的安全性優點,請勿將此政策授予已指派 AWSGlueServiceRoleAWSGlueConsoleFullAccessAWSGlueConsoleSageMakerNotebookFullAccess 政策的使用者。

  • AwsGlueSessionUserRestrictedNotebookServiceRole— 提供對AWS Glue Studio筆記本工作階段的足夠存取權,以便與特定的AWS Glue互動式工作階段資源 這些是使用「owner」標籤值建立的資源,符合建立記事本之主參與 AWS 者 (IAM使用者或角色) 的使用者識別碼。如需這些標籤的詳細資訊,請參閱IAM使用者指南中的主要索引鍵值圖表。

    此服務角色原則會附加至在筆記本內透過魔術指令指定的角色,或是以角色傳遞給CreateSessionAPI作業的角色。只有當標籤鍵「owner」和值符合主參與者的使用者識別碼時,此原則也允許主參與 AWS 者從AWS Glue Studio筆記本介面建立AWS Glue互動式工作階段。建立工作階段之後,此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。此政策還包括從 Amazon S3 儲存貯體寫入和讀取、撰寫 CloudWatch 日誌,以及為所使用之 Amazon EC2 資源建立和刪除標籤的許可AWS Glue。

    注意

    若要達到完整的安全性優點,請勿將此政策授予已指派 AWSGlueServiceRoleAWSGlueConsoleFullAccessAWSGlueConsoleSageMakerNotebookFullAccess 政策的角色。

  • AwsGlueSessionUserRestrictedNotebookPolicy— 只有當標籤鍵「owner」和值符合使用者建立AWS Glue Studio記事本的主參與者 ( AWS 使用IAM者或角色) 時,才可存IDof取從記事本介面建立AWS Glue互動式工作階段。如需這些標籤的詳細資訊,請參閱IAM使用者指南中的主要索引鍵值圖表。

    此原則會附加至從AWS Glue Studio筆記本介面建立工作階段的主體 (IAM使用者或角色)。此政策還允許足夠的 AWS Glue Studio 筆記本存取權,以便與特定的 AWS Glue 互動式工作階段資源互動。這些資源是使用符合主體的 AWS 使用者識別碼的「owner」標籤值所建立的資源。建立工作階段之後,此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。

  • AWSGlueServiceNotebookRole— 授予對在AWS Glue Studio筆記本中啟動之AWS Glue工作階段的存取權。此原則允許列出並取得所有工作階段的工作階段資訊,但只允許使用者建立和使用標記為其使用 AWS 者 ID 的工作階段。此原則拒絕從使用其 AWS ID 標記的AWS Glue工作階段資源中變更或移除「owner」標籤的權限。

    將此原則指派給使用中的筆記本介面建立工作的使用 AWS 者AWS Glue Studio。

  • AWSGlueConsoleSageMakerNotebookFullAccess— 當附加原則的身分使用時,授與 AWS Glue 和 SageMaker 資源的完整存取權 AWS Management Console。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此原則通常會附加至管理 SageMaker 筆記本電腦的AWS Glue主控台使用者。

  • AWSGlueSchemaRegistryFullAccess— 當附加原則的身分使用 AWS Management Console 或時,授與對AWS Glue結構描述登錄資源的完整存取權 AWS CLI。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此原則通常會附加至AWS Glue主控台的使用 AWS CLI 者或管理AWS Glue結構描述登錄的使用者。

  • AWSGlueSchemaRegistryReadonlyAccess— 當附加原則的身分使用 AWS Management Console 或時,授與對AWS Glue結構描述登錄資源的唯讀存取權 AWS CLI。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此原則通常會附加至AWS Glue主控台的使用 AWS CLI 者或使用AWS Glue結構描述登錄的使用者。

注意

您可以登入IAM主控台並在該處搜尋特定原則,以檢閱這些權限原則。

您也可以建立自己的自訂IAM原則,以允許 AWS Glue 動作和資源的權限。您可以將這些自訂原則附加到需要這些權限的IAM使用者或群組。

AWS 將 AWS 受管理政策的更新

檢視 AWS Glue AWS 受管理原則更新的詳細資料,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請訂閱「 AWS Glue 合文件記錄」頁面上的RSS摘要。

變更 描述 日期
AwsGlueSessionUserRestrictedNotebookPolicy — 對現有策略的次要更新。 添加允許glue:TagResource對所有者標籤密鑰進行操作。對具有擁有者標籤金鑰 tag-on-create 的工作階段進行支援時需要。 2024年8月30日
AwsGlueSessionUserRestrictedNotebookServiceRole — 對現有策略的次要更新。 添加允許glue:TagResource對所有者標籤密鑰進行操作。對具有擁有者標籤金鑰 tag-on-create 的工作階段進行支援時需要。 2024年8月30日
AwsGlueSessionUserRestrictedPolicy — 對現有策略的次要更新。 添加允許glue:TagResource對所有者標籤密鑰進行操作。對具有擁有者標籤金鑰 tag-on-create 的工作階段進行支援時需要。 2024年8月5 日
AwsGlueSessionUserRestrictedServiceRole — 對現有策略的次要更新。 添加允許glue:TagResource對所有者標籤密鑰進行操作。對具有擁有者標籤金鑰 tag-on-create 的工作階段進行支援時需要。 2024年8月5 日
AwsGlueSessionUserRestrictedPolicy — 對現有策略的次要更新。 glue:StartCompletionglue:GetCompletion 新增至政策。在 AWS Glue 中進行 Amazon Q 資料整合時需要使用。 2024 年 4 月 30 日
AwsGlueSessionUserRestrictedNotebookServiceRole — 對現有策略的次要更新。 glue:StartCompletionglue:GetCompletion 新增至政策。在 AWS Glue 中進行 Amazon Q 資料整合時需要使用。 2024 年 4 月 30 日
AwsGlueSessionUserRestrictedServiceRole — 對現有策略的次要更新。 glue:StartCompletionglue:GetCompletion 新增至政策。在 AWS Glue 中進行 Amazon Q 資料整合時需要使用。 2024 年 4 月 30 日
AWSGlueServiceNotebookRole— 對現有策略的次要更新。 glue:StartCompletionglue:GetCompletion 新增至政策。在 AWS Glue 中進行 Amazon Q 資料整合時需要使用。 2024年1月30日
AwsGlueSessionUserRestrictedNotebookPolicy — 對現有策略的次要更新。 glue:StartCompletionglue:GetCompletion 新增至政策。在 AWS Glue 中進行 Amazon Q 資料整合時需要使用。 2023 年 11 月 29 日
AWSGlueServiceNotebookRole— 對現有策略的次要更新。 codewhisperer:GenerateRecommendations 新增至政策。 AWS Glue 產生 CodeWhisperer 建議的新功能是必需的。 2023 年 10 月 9 日

AWSGlueServiceRole— 對現有策略的次要更新。

收緊 CloudWatch 權限範圍,以更好地反映 AWS Glue 日誌記錄。 2023 年 8 月 4 日

AWSGlueConsoleFullAccess— 對現有策略的次要更新。

databrew 配方清單和描述許可新增至政策。必須提供 AWS Glue 可存取配方的新功能的完整管理存取權。 2023 年 5 月 9 日

AWSGlueConsoleFullAccess— 對現有策略的次要更新。

cloudformation:ListStacks 新增至政策。在 AWS CloudFormation 授權需求變更後保留現有功能。 2023 年 3 月 28 日

為互動式工作階段功能新增新的受管政策︰

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRole

  • AwsGlueSessionUserRestrictedNotebookPolicy

這些政策的設計目的是為 AWS Glue Studio 中的互動式工作階段和筆記本提供更多的安全性。原則會限制對CreateSessionAPI作業的存取,以便只有擁有者可以存取。

2021 年 11 月 30 日

AWSGlueConsoleSageMakerNotebookFullAccess – 更新現有政策。

移除授與AWS Glue用於存放指令碼和暫存檔案之 Amazon S3 儲存貯體讀取/寫入許可的動作的冗餘資源 ARN (arn:aws:s3:::aws-glue-*/*)。

修正語法問題,方法是將 "StringEquals" 變更為 "ForAnyValue:StringLike",並將 "Effect": "Allow" 行移動到它們亂序的每個位置的 "Action": 行之前。

2021 年 7 月 15 日

AWSGlueConsoleFullAccess – 更新現有政策。

移除授與AWS Glue用於存放指令碼和暫存檔案之 Amazon S3 儲存貯體讀取/寫入許可的動作的冗餘資源 ARN (arn:aws:s3:::aws-glue-*/*)。 2021 年 7 月 15 日

AWS Glue 已開始追蹤變更。

AWS Glue開始追蹤其 AWS 受管理策略的變更。 2021 年 6 月 10 日