Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zur Verwendung AWS Glue Studio, der Benutzer muss Zugriff auf verschiedene AWS Ressourcen haben. Der Benutzer muss in der Lage sein, Amazon S3 S3-Buckets, IAM-Richtlinien und -Rollen anzuzeigen und auszuwählen, und AWS Glue Data Catalog Objekte.
AWS Glue Serviceberechtigungen
AWS Glue Studio verwendet die Aktionen und Ressourcen des AWS Glue Dienst. Ihr Benutzer benötigt Berechtigungen für diese Aktionen und Ressourcen, um sie effektiv nutzen zu können AWS Glue Studio. Sie können die gewähren AWS Glue Studio verwenden Sie die AWSGlueConsoleFullAccess verwaltete Richtlinie oder erstellen Sie eine benutzerdefinierte Richtlinie mit einem kleineren Satz von Berechtigungen.
Wichtig
Im Sinne der Sicherheit hat es sich bewährt, den Zugriff auf Amazon-S3-Bucket- und Amazon CloudWatch -Protokoll-Gruppen durch strengere Richtlinien einzuschränken. Eine Amazon-S3-Beispielrichtlinie finden Sie unter Schreiben von IAM-Richtlinien: So gewähren Sie Zugriff auf einen Amazon-S3-Bucket
Erstellen benutzerdefinierter IAM-Richtlinien für AWS Glue Studio
Sie können eine benutzerdefinierte Richtlinie mit einem kleineren Satz von Berechtigungen für erstellen AWS Glue Studio. Die Richtlinie kann Berechtigungen für eine Teilmenge von Objekten oder Aktionen gewähren. Verwenden Sie die folgenden Informationen, wenn Sie eine benutzerdefinierte Richtlinie erstellen.
Um das AWS Glue Studio APIs, fügen Sie Ihre IAM-Berechtigungen glue:UseGlueStudio in die Aktionsrichtlinie ein. Durch glue:UseGlueStudio die Verwendung können Sie auf alle zugreifen AWS Glue Studio Aktionen, auch wenn der API im Laufe der Zeit weitere Aktionen hinzugefügt werden.
Weitere Informationen zu Aktionen, die von definiert sind AWS Glue, finden Sie unter Aktionen definiert von AWS Glue.
Aktionen zur Datenaufbereitung und -erstellung
-
SendRecipeAction
-
GetRecipeAction
DAG-Aktionen (Ausgerichtetes azyklisches Diagramm)
-
CreateDag
-
UpdateDag
-
GetDag
-
DeleteDag
Auftragsaktionen
-
SaveJob
-
GetJob
-
CreateJob
-
DeleteJob
-
GetJobs
-
UpdateJob
Aktionen zur Auftragsausführung
-
StartJobRun
-
GetJobRuns
-
BatchStopJobRun
-
GetJobRun
-
QueryJobRuns
-
QueryJobs
-
QueryJobRunsAggregated
Schema-Aktionen
-
GetSchema
-
GetInferredSchema
Datenbank-Aktionen
-
GetDatabases
Plan-Aktionen
-
GetPlan
Tabellen-Aktionen
-
SearchTables
-
GetTables
-
GetTable
Verbindungs-Aktionen
-
CreateConnection
-
DeleteConnection
UpdateConnection
-
GetConnections
-
GetConnection
Zuordnungs-Aktionen
-
GetMapping
S3-Proxy-Aktionen
-
ListBuckets
-
ListObjectsV2
-
GetBucketLocation
Sicherheitskonfigurations-Aktionen
-
GetSecurityConfigurations
Skript-Aktionen
-
CreateScript (anders als die gleichnamige API in AWS Glue)
Zugriff AWS Glue Studio APIs
Um darauf zuzugreifen AWS Glue Studio, fügen Sie glue:UseGlueStudio die Liste der Aktionsrichtlinien in den IAM-Berechtigungen hinzu.
Im Beispiel unten glue:UseGlueStudio ist zwar in der Aktionsrichtlinie enthalten, aber AWS Glue Studio APIs sind nicht individuell identifiziert. Das liegt daranglue:UseGlueStudio, dass Ihnen bei der Eingabe automatisch Zugriff auf die internen Daten gewährt wird, APIs ohne dass Sie die Person angeben müssen AWS Glue Studio APIs in den IAM-Berechtigungen.
In dem Beispiel sind die zusätzlich aufgelisteten Aktionsrichtlinien (z. B.glue:SearchTables) nicht AWS Glue Studio APIs, daher müssen sie je nach Bedarf in die IAM-Berechtigungen aufgenommen werden. Sie können auch Amazon-S3-Proxy-Aktionen einschließen, um die Ebene des zu gewährenden Amazon-S3-Zugriffs festzulegen. Die folgende Beispielrichtlinie bietet Zugriff auf Open AWS Glue Studio, erstellen Sie einen visuellen Job und speichern/führen Sie ihn aus, wenn die ausgewählte IAM-Rolle über ausreichenden Zugriff verfügt.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"glue:UseGlueStudio",
"iam:ListRoles",
"iam:ListUsers",
"iam:ListGroups",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetRolePolicy",
"glue:SearchTables",
"glue:GetConnections",
"glue:GetJobs",
"glue:GetTables",
"glue:BatchStopJobRun",
"glue:GetSecurityConfigurations",
"glue:DeleteJob",
"glue:GetDatabases",
"glue:CreateConnection",
"glue:GetSchema",
"glue:GetTable",
"glue:GetMapping",
"glue:CreateJob",
"glue:DeleteConnection",
"glue:CreateScript",
"glue:UpdateConnection",
"glue:GetConnection",
"glue:StartJobRun",
"glue:GetJobRun",
"glue:UpdateJob",
"glue:GetPlan",
"glue:GetJobRuns",
"glue:GetTags",
"glue:GetJob",
"glue:QueryJobRuns",
"glue:QueryJobs",
"glue:QueryJobRunsAggregated",
"glue:SendRecipeAction",
"glue:GetRecipeAction"
],
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com"
]
}
}
}
]
}
Berechtigungen für Notebook und Datenvorschau
Mit Datenvorschauen und Notizbüchern können Sie in jeder Phase Ihres Auftrags (Lesen, Transformieren, Schreiben) ein Beispiel Ihrer Daten anzeigen, ohne den Auftrag ausführen zu müssen. Sie geben eine AWS Identity and Access Management (IAM-) Rolle an für AWS Glue Studio zur Verwendung beim Zugriff auf die Daten. IAM-Rollen sollen annehmbar sein und haben keine langfristigen Standard-Anmeldeinformationen wie ein Kennwort oder damit verbundene Zugriffsschlüssel. Stattdessen, wann AWS Glue Studio übernimmt die Rolle, IAM stellt ihr temporäre Sicherheitsanmeldedaten zur Verfügung.
Um sicherzustellen, dass Datenvorschauen und Notebook-Befehle ordnungsgemäß funktionieren, verwenden Sie eine Rolle mit einem Namen, der mit der Zeichenfolge AWSGlueServiceRole beginnt. Wenn Sie einen anderen Namen für Ihre Rolle verwenden möchten, müssen Sie die iam:passrole-Berechtigung hinzufügen und eine Richtlinie für die Rolle in IAM konfigurieren. Weitere Informationen finden Sie unter Erstellen Sie eine IAM-Richtlinie für Rollen ohne den Namen "AWSGlueServiceRole*“.
Warnung
Wenn eine Rolle die iam:passrole-Berechtigung für ein Notebook gewährt und Sie eine Rollenverkettung implementieren, könnte ein Benutzer unbeabsichtigt Zugriff auf das Notebook erlangen. Derzeit ist kein Auditing implementiert, mit dem Sie überwachen können, welchen Benutzern Zugriff auf das Notebook gewährt wurde.
Wenn Sie einer IAM-Identität die Möglichkeit verweigern möchten, Datenvorschau-Sitzungen zu erstellen, lesen Sie das folgende Beispiel Einer Identität die Möglichkeit verweigern, Datenvorschau-Sitzungen zu erstellen.
Amazon CloudWatch
-Berechtigungen
Sie können Ihre überwachen AWS Glue Studio jobs using Amazon CloudWatch, das Rohdaten sammelt und verarbeitet von AWS Glue in lesbare near-real-time Metriken. Standardmäßig AWS Glue Metrikdaten werden CloudWatch automatisch gesendet. Weitere Informationen finden Sie unter Was ist Amazon CloudWatch? im CloudWatch Amazon-Benutzerhandbuch und AWS Glue Metriken im AWS Glue Entwicklerhandbuch.
Um auf CloudWatch Dashboards zuzugreifen, muss der Benutzer darauf zugreifen AWS Glue Studio benötigt eine der folgenden Optionen:
-
Die Richtlinie
AdministratorAccess -
Die Richtlinie
CloudWatchFullAccess -
Eine benutzerdefinierte Richtlinie mit einem oder mehreren dieser spezifischen Berechtigungen:
-
cloudwatch:GetDashboardundcloudwatch:ListDashboardszum Anzeigen von Dashboards -
cloudwatch:PutDashboardzum Erstellen bzw. Ändern von Dashboards -
cloudwatch:DeleteDashboardszum Löschen von Dashboards
-
Weitere Informationen zum Ändern von Berechtigungen für einen IAM-Benutzer mithilfe von Richtlinien finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer im IAM-Benutzerhandbuch.
