Beispiele für ressourcenbasierte Richtlinien für Glue AWS

Dieser Abschnitt enthält beispielhafte Ressourcenrichtlinien, einschließlich Richtlinien, die kontoübergreifenden Zugriff gewähren.

In den Beispielen wird das AWS Command Line Interface (AWS CLI) verwendet, um mit zu interagieren AWS Glue Service-API-Operationen. Sie können dieselben Operationen auf dem ausführen AWS Glue Konsole oder mit einem der AWS SDKs.

Wichtig

Durch Ändern eines AWS Glue Ressourcenrichtlinie, Sie könnten versehentlich Berechtigungen für bestehende Benutzer entziehen AWS Glue Benutzer in Ihrem Konto und verursachen unerwartete Störungen. Probieren Sie diese Beispiele nur in Entwicklungs- oder Testkonten aus und stellen Sie sicher, dass sie keine bestehenden Arbeitsabläufe unterbrechen, bevor Sie die Änderungen vornehmen.

Themen

Überlegungen zur Verwendung ressourcenbasierter Richtlinien mit Glue AWS
Verwenden einer Ressourcenrichtlinie, um den Zugriff auf das gleiche Konto zu steuern

Überlegungen zur Verwendung ressourcenbasierter Richtlinien mit Glue AWS

Anmerkung

Sowohl IAM-Richtlinien als auch ein AWS Glue Die Verbreitung der Ressourcenrichtlinie dauert einige Sekunden. Nachdem Sie eine neue Richtlinie angefügt haben, stellen Sie möglicherweise fest, dass die alte Richtlinie noch in Kraft ist, bis die neue Richtlinie durch das System verbreitet wurde.

Sie verwenden ein im JSON-Format geschriebenes Richtliniendokument, um eine Ressourcenrichtlinie zu erstellen oder zu ändern. Die Richtliniensyntax ist die gleiche wie bei einer identitätsbasierten IAM-Richtlinie (siehe IAM-JSON-Richtlinienreferenz), mit den folgenden Ausnahmen:

Ein "Principal"- oder "NotPrincipal"-Block ist für jede Richtlinienanweisung erforderlich.
Das "Principal" oder "NotPrincipal" muss gültige bestehende Prinzipale identifizieren. Platzhalter-Muster (z. B. arn:aws:iam::account-id:user/*) sind nicht erlaubt.
Der "Resource" Block in der Richtlinie erfordert, dass alle Ressourcen ARNs der folgenden Syntax für reguläre Ausdrücke entsprechen (wobei die region erste %s die und die zweite die %s istaccount-id):
```
*arn:aws:glue:%s:%s:(\*|[a-zA-Z\*]+\/?.*)
```
Zum Beispiel sind sowohl arn:aws:glue:us-west-2:account-id:* als auch arn:aws:glue:us-west-2:account-id:database/default erlaubt, aber * ist nicht erlaubt.
Im Gegensatz zu identitätsbasierten Richtlinien ist ein AWS Glue Die Ressourcenrichtlinie darf nur Amazon-Ressourcennamen (ARNs) von Ressourcen enthalten, die zu dem Katalog gehören, an den die Richtlinie angehängt ist. Solche beginnen ARNs immer mitarn:aws:glue:.
Eine Richtlinie kann nicht dazu führen, dass die Identität, die sie erstellt, von der weiteren Erstellung oder Änderung von Richtlinien ausgeschlossen wird.
Ein JSON-Dokument für Ressourcenrichtlinien darf eine Größe von 10 kB nicht überschreiten.

Verwenden einer Ressourcenrichtlinie, um den Zugriff auf das gleiche Konto zu steuern

In diesem Beispiel erstellt ein Admin-Benutzer in Konto A eine Ressourcenrichtlinie, die dem IAM-Benutzer Alice in Konto A Vollzugriff auf den Katalog gewährt. Alice hat keine angefügte IAM-Richtlinie.

Dazu führt der Admin-Benutzer den folgenden AWS CLI Befehl aus.


# Run as admin of Account A
$ aws glue put-resource-policy --profile administrator-name --region us-west-2 --policy-in-json '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": {
        "AWS": [
          "arn:aws:iam::account-A-id:user/Alice"
        ]
      },
      "Effect": "Allow",
      "Action": [
        "glue:*"
      ],
      "Resource": [
        "arn:aws:glue:us-west-2:account-A-id:*"
      ]
    }
  ]
}'

Anstatt das JSON-Richtliniendokument als Teil Ihres AWS CLI Befehls einzugeben, können Sie ein Richtliniendokument in einer Datei speichern und im AWS CLI Befehl auf den Dateipfad mit dem Präfix verweisen. file:// Im Folgenden finden Sie ein Beispiel dafür, wie Sie dies tun können.


$ echo '{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": {
        "AWS": [
          "arn:aws:iam::account-A-id:user/Alice"
        ]
      },
      "Effect": "Allow",
      "Action": [
        "glue:*"
      ],
      "Resource": [
        "arn:aws:glue:us-west-2:account-A-id:*"
      ]
    }
  ]
}' > /temp/policy.json

$ aws glue put-resource-policy --profile admin1 \
    --region us-west-2 --policy-in-json file:///temp/policy.json

Nachdem diese Ressourcenrichtlinie verbreitet wurde, kann Alice auf alle zugreifen AWS Glue Ressourcen in Konto A, wie folgt.


# Run as user Alice
$ aws glue create-database --profile alice --region us-west-2 --database-input '{
    "Name": "new_database",
    "Description": "A new database created by Alice",
    "LocationUri": "s3://amzn-s3-demo-bucket"
}'

$ aws glue get-table --profile alice --region us-west-2 --database-name "default" --table-name "tbl1"}

Als Antwort auf Alices get-table Anruf AWS Glue Der Dienst gibt Folgendes zurück.


{
  "Table": {
    "Name": "tbl1",
    "PartitionKeys": [],
    "StorageDescriptor": {
        ......
    },
    ......
  }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für identitätsbasierte Richtlinien

Gewährung AWS verwalteter Richtlinien