本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授予 Glue AWS 的 AWS 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的API操作可用於現有 服務時, AWS 很有可能更新受 AWS 管政策。
如需詳細資訊,請參閱IAM IAM 使用者指南中的AWS 受管政策。
AWS 的 受管 (預先定義) 政策 AWS Glue
AWS 提供由 建立和管理的獨立IAM政策,以解決許多常見的使用案例 AWS。這些 AWS 受管政策會授予常見使用案例的必要許可,讓您不必調查需要哪些許可。如需詳細資訊,請參閱IAM IAM 使用者指南中的AWS 受管政策。
下列 AWS 受管政策可連接到您帳戶中的身分,其專屬於 AWS Glue 和 依使用案例案例分組:
-
AWSGlueConsoleFullAccess
– 授予 的完整存取權 AWS Glue 資源 AWS Management Console。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常連接到 的使用者 AWS Glue 主控台。 -
AWSGlueServiceRole
– 准許存取各種 AWS Glue 程序需要代表您執行。這些資源包括 AWS Glue、Amazon S3、IAM、 CloudWatch Logs 和 Amazon EC2。如果您遵循此政策中指定資源的命名慣例,AWS Glue 程序具有必要的許可。此政策通常會連接至定義爬蟲程式、工作和開發端點時所指定的角色。 -
AwsGlueSessionUserRestrictedServiceRole
– 提供所有 的完整存取權 AWS Glue 資源,工作階段除外。其允許使用者建立並僅使用與使用者相關聯的互動式工作階段。此政策包含 所需的其他許可 AWS Glue 管理 AWS Glue 其他服務中的 資源 AWS 。此政策也允許將標籤新增至 AWS Glue 其他服務中的 資源 AWS 。 注意
若要達到完整的安全性優點,請勿將此政策授予已指派
AWSGlueServiceRole、AWSGlueConsoleFullAccess或AWSGlueConsoleSageMakerNotebookFullAccess政策的使用者。 -
AwsGlueSessionUserRestrictedPolicy
– 提供建立的存取權 AWS Glue 只有在提供符合受指派者 AWS 使用者 ID 的標籤金鑰「擁有者」和值時,才能使用 CreateSessionAPI操作的互動式工作階段。此身分政策會連接到叫用CreateSessionAPI操作IAM的使用者。此政策也允許受指派者與 AWS Glue 使用符合其 AWS 使用者 ID 的「擁有者」標籤和值建立的互動式工作階段資源。此政策拒絕從 變更或移除「擁有者」標籤的許可 AWS Glue 工作階段資源。注意
若要達到完整的安全性優點,請勿將此政策授予已指派
AWSGlueServiceRole、AWSGlueConsoleFullAccess或AWSGlueConsoleSageMakerNotebookFullAccess政策的使用者。 -
AwsGlueSessionUserRestrictedNotebookServiceRole
– 提供對 的足夠存取權 AWS Glue Studio 要與特定 互動的筆記本工作階段 AWS Glue 互動式工作階段資源。這些資源是以「擁有者」標籤值建立,符合建立筆記本之委託人 AWS (IAM使用者或角色) 的使用者 ID。如需這些標籤的詳細資訊,請參閱 IAM 使用者指南中的主體索引鍵值圖表。 此服務角色政策會連接到筆記本內使用魔術命令指定的角色,或做為角色傳遞至
CreateSessionAPI 操作。此政策也允許委託人建立 AWS Glue 的互動式工作階段 AWS Glue Studio 只有在標籤金鑰「擁有者」和值符合委託人 AWS 的使用者 ID 時,筆記本界面才會如此。此政策拒絕從 變更或移除「擁有者」標籤的許可 AWS Glue 工作階段資源。此政策也包含從 Amazon S3 儲存貯體寫入和讀取、撰寫 CloudWatch 日誌,以及為 所使用的 Amazon EC2 資源建立和刪除標籤的許可 AWS Glue.注意
若要達到完整的安全性優點,請勿將此政策授予已指派
AWSGlueServiceRole、AWSGlueConsoleFullAccess或AWSGlueConsoleSageMakerNotebookFullAccess政策的角色。 -
AwsGlueSessionUserRestrictedNotebookPolicy
– 提供建立 的存取權 AWS Glue 的互動式工作階段 AWS Glue Studio 筆記本界面只有在有標籤索引鍵「擁有者」和值符合建立筆記本的 AWS IDof主體 (IAM使用者或角色) 時。如需這些標籤的詳細資訊,請參閱IAM《 使用者指南》中的主體索引鍵值圖表。 此政策會連接到從 建立工作階段的委託人 (IAM使用者或角色) AWS Glue Studio 筆記本介面。此政策也允許對 進行足夠的存取 AWS Glue Studio 要與特定 互動的筆記本 AWS Glue 互動式工作階段資源。這些是使用與委託 AWS 人的使用者 ID 相符的「擁有者」標籤值建立的資源。此政策拒絕從 變更或移除「擁有者」標籤的許可 AWS Glue 工作階段資源。
-
AWSGlueServiceNotebookRole
– 授予 的存取權 AWS Glue 在 中啟動的工作階段 AWS Glue Studio 筆記本。此政策允許列出和取得所有工作階段的工作階段資訊,但只允許使用者建立和使用標記其 AWS 使用者 ID 的工作階段。此政策拒絕從 變更或移除「擁有者」標籤的許可 AWS Glue 工作階段資源加上 AWS ID 的標籤。 將此政策指派給在 中使用筆記本界面建立任務 AWS 的使用者 AWS Glue Studio.
-
AWSGlueConsoleSageMakerNotebookFullAccess
– 當政策連接至 的身分使用 時,授予 AWS Glue 和 SageMaker AI 資源的完整存取權 AWS Management Console。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常連接到 的使用者 AWS Glue 管理 SageMaker AI 筆記本的 主控台。 -
AWSGlueSchemaRegistryFullAccess
– 授予 的完整存取權 AWS Glue 當政策連接至 的身分使用 AWS Management Console 或 時,結構描述登錄檔資源 AWS CLI。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常連接到 的使用者 AWS Glue 主控台或 AWS CLI 管理 AWS Glue 結構描述登錄檔。 -
AWSGlueSchemaRegistryReadonlyAccess
– 授予 的唯讀存取權 AWS Glue 當政策連接至 的身分使用 AWS Management Console 或 時,結構描述登錄檔資源 AWS CLI。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常連接到 的使用者 AWS Glue 主控台或使用 AWS CLI AWS Glue 結構描述登錄檔。
注意
您可以登入 IAM 主控台並在該處搜尋特定政策,來檢閱這些許可政策。
您也可以建立自己的自訂IAM政策,以允許 AWS Glue 動作和資源的許可。您可以將這些自訂政策連接至需要這些許可的 IAM 使用者或群組。
AWSAWS 受管政策的 Glue 更新
檢視自此服務開始追蹤這些變更以來,Glue AWS AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS Glue 文件歷史記錄頁面上的RSS摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
| AwsGlueSessionUserRestrictedNotebookPolicy – 對現有政策的次要更新。 | 新增允許對擁有者標籤金鑰執行glue:TagResource動作。在 上 tag-on-create支援具有擁有者標籤金鑰的工作階段時為必要。 |
2024 年 8 月 30 日 |
| AwsGlueSessionUserRestrictedNotebookServiceRole – 對現有政策的次要更新。 | 新增允許對擁有者標籤金鑰執行glue:TagResource動作。在 上 tag-on-create支援具有擁有者標籤金鑰的工作階段時為必要。 |
2024 年 8 月 30 日 |
| AwsGlueSessionUserRestrictedPolicy – 對現有政策的次要更新。 | 新增允許對擁有者標籤金鑰執行glue:TagResource動作。在 上 tag-on-create支援具有擁有者標籤金鑰的工作階段時為必要。 |
2024 年 8 月 5 日 |
| AwsGlueSessionUserRestrictedServiceRole – 對現有政策的次要更新。 | 新增允許對擁有者標籤金鑰執行glue:TagResource動作。在 上 tag-on-create支援具有擁有者標籤金鑰的工作階段時為必要。 |
2024 年 8 月 5 日 |
| AwsGlueSessionUserRestrictedPolicy – 對現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。在 Glue 中整合 Amazon Q AWS 資料時為必要。 |
2024 年 4 月 30 日 |
| AwsGlueSessionUserRestrictedNotebookServiceRole – 對現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。在 Glue 中整合 Amazon Q AWS 資料時為必要。 |
2024 年 4 月 30 日 |
| AwsGlueSessionUserRestrictedServiceRole – 對現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。在 Glue 中整合 Amazon Q AWS 資料時為必要。 |
2024 年 4 月 30 日 |
| AWSGlueServiceNotebookRole – 對現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。在 Glue 中整合 Amazon Q AWS 資料時為必要。 |
2024 年 1 月 30 日 |
| AwsGlueSessionUserRestrictedNotebookPolicy – 對現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。在 Glue 中整合 Amazon Q AWS 資料時為必要。 |
2023 年 11 月 29 日 |
| AWSGlueServiceNotebookRole – 對現有政策的次要更新。 | 將 codewhisperer:GenerateRecommendations 新增至政策。Glue AWS 產生 CodeWhisperer 建議的新功能需要。 |
2023 年 10 月 9 日 |
|
AWSGlueServiceRole – 對現有政策的次要更新。 |
限制 CloudWatch 許可範圍,以更好地反映 Glue AWS 記錄。 | 2023 年 8 月 4 日 |
|
AWSGlueConsoleFullAccess – 對現有政策的次要更新。 |
將 databrew 配方清單和描述許可新增至政策。為 Glue AWS 可以存取配方的新功能提供完整的管理存取權時需要。 |
2023 年 5 月 9 日 |
|
AWSGlueConsoleFullAccess – 對現有政策的次要更新。 |
將 cloudformation:ListStacks 新增至政策。在變更 AWS CloudFormation 授權要求後保留現有功能。 |
2023 年 3 月 28 日 |
|
為互動式工作階段功能新增新的受管政策︰
|
這些政策旨在為 中的互動式工作階段和筆記本提供額外的安全性 AWS Glue Studio。 這些政策會限制對 |
2021 年 11 月 30 日 |
|
AWSGlueConsoleSageMakerNotebookFullAccess – 更新現有政策。 |
已移除對 Amazon S3 儲存貯體授予讀取/寫入許可之動作的備援資源 ARN( 修正語法問題,方法是將 |
2021 年 7 月 15 日 |
|
AWSGlueConsoleFullAccess – 更新現有政策。 |
已移除對 Amazon S3 儲存貯體授予讀取/寫入許可之動作的備援資源 ARN(arn:aws:s3:::aws-glue-*/*) AWS Glue 使用 來存放指令碼和暫存檔案。 |
2021 年 7 月 15 日 |
|
AWS Glue 已開始追蹤變更。 |
AWS Glue 已開始追蹤其 AWS 受管政策的變更。 | 2021 年 6 月 10 日 |
