Pemberian kebijakan AWS terkelola untuk AWS Glue - AWS Glue

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemberian kebijakan AWS terkelola untuk AWS Glue

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

AWS kebijakan terkelola (standar) untuk AWS Glue

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan IAM kebijakan mandiri yang dibuat dan dikelola oleh AWS. Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari keharusan menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke identitas di akun Anda, khusus untuk AWS Glue dan dikelompokkan berdasarkan skenario kasus penggunaan:

  • AWSGlueConsoleFullAccessMemberikan akses penuh ke AWS Glue sumber daya ketika identitas yang dilampirkan kebijakan menggunakan. AWS Management Console Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol.

  • AWSGlueServiceRole— Memberikan akses ke sumber daya yang diperlukan berbagai AWS Glue proses untuk dijalankan atas nama Anda. Sumber daya ini termasukAWS Glue, Amazon S3,, CloudWatch LogIAM, dan Amazon. EC2 Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, AWS Glue proses memiliki izin yang diperlukan. Kebijakan ini biasanya dilampirkan pada peran yang ditentukan saat menentukan crawler, tugas, dan titik akhir pengembangan.

  • AwsGlueSessionUserRestrictedServiceRole— Menyediakan akses penuh ke semua AWS Glue sumber daya kecuali untuk sesi. Hal ini memungkinkan pengguna untuk membuat dan menggunakan hanya sesi interaktif yang terkait dengan pengguna. Kebijakan ini mencakup izin lain yang diperlukan AWS Glue untuk mengelola AWS Glue sumber daya di AWS layanan lain. Kebijakan ini juga memungkinkan penambahan tag ke AWS Glue sumber daya di AWS layanan lain.

    catatan

    Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini kepada pengguna yang ditugaskanAWSGlueServiceRole,AWSGlueConsoleFullAccess, atau AWSGlueConsoleSageMakerNotebookFullAccess kebijakan.

  • AwsGlueSessionUserRestrictedPolicy— Menyediakan akses untuk membuat sesi AWS Glue interaktif menggunakan CreateSession API operasi hanya jika kunci tag “pemilik” dan nilai yang cocok dengan ID AWS pengguna penerima tugas disediakan. Kebijakan identitas ini dilampirkan ke IAM pengguna yang memanggil CreateSession API operasi. Kebijakan ini juga mengizinkan penerima tugas untuk berinteraksi dengan sumber daya sesi AWS Glue interaktif yang dibuat dengan tag “pemilik” dan nilai yang cocok dengan ID pengguna mereka. AWS Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi setelah sesi dibuat.

    catatan

    Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini kepada pengguna yang ditugaskanAWSGlueServiceRole,AWSGlueConsoleFullAccess, atau AWSGlueConsoleSageMakerNotebookFullAccess kebijakan.

  • AwsGlueSessionUserRestrictedNotebookServiceRole— Menyediakan akses yang cukup ke sesi AWS Glue Studio notebook untuk berinteraksi dengan sumber daya sesi AWS Glue interaktif tertentu. Ini adalah sumber daya yang dibuat dengan nilai tag “pemilik” yang cocok dengan ID AWS pengguna prinsipal (IAMpengguna atau peran) yang membuat buku catatan. Untuk informasi selengkapnya tentang tag ini, lihat bagan Nilai kunci utama di Panduan IAM Pengguna.

    Kebijakan peran layanan ini dilampirkan pada peran yang ditentukan dengan perintah ajaib di dalam buku catatan atau diteruskan sebagai peran ke operasi. CreateSession API Kebijakan ini juga mengizinkan prinsipal untuk membuat sesi AWS Glue interaktif dari antarmuka AWS Glue Studio notebook hanya jika kunci tag “pemilik” dan nilai cocok dengan ID AWS pengguna prinsipal. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi setelah sesi dibuat. Kebijakan ini juga mencakup izin untuk menulis dan membaca dari bucket Amazon S3, CloudWatch menulis log, serta membuat serta menghapus tag untuk sumber daya EC2 Amazon yang digunakan oleh. AWS Glue

    catatan

    Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini untuk peran yang ditugaskanAWSGlueServiceRole,AWSGlueConsoleFullAccess, atau AWSGlueConsoleSageMakerNotebookFullAccess kebijakan.

  • AwsGlueSessionUserRestrictedNotebookPolicy— Menyediakan akses untuk membuat sesi AWS Glue interaktif dari antarmuka AWS Glue Studio notebook hanya jika ada kunci tag “pemilik” dan nilai yang cocok dengan AWS pengguna IDof prinsipal (IAMpengguna atau peran) yang membuat notebook. Untuk informasi selengkapnya tentang tag ini, lihat bagan Nilai kunci utama di Panduan IAM Pengguna.

    Kebijakan ini dilampirkan pada prinsipal (IAMpengguna atau peran) yang membuat sesi dari antarmuka AWS Glue Studio notebook. Kebijakan ini juga memungkinkan akses yang cukup ke AWS Glue Studio buku catatan untuk berinteraksi dengan sumber daya sesi AWS Glue interaktif tertentu. Ini adalah sumber daya yang dibuat dengan nilai tag “pemilik” yang cocok dengan ID AWS pengguna prinsipal. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi setelah sesi dibuat.

  • AWSGlueServiceNotebookRole— Memberikan akses ke AWS Glue sesi yang dimulai di AWS Glue Studio buku catatan. Kebijakan ini memungkinkan daftar dan mendapatkan informasi sesi untuk semua sesi, tetapi hanya mengizinkan pengguna untuk membuat dan menggunakan sesi yang ditandai dengan ID AWS pengguna mereka. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi yang ditandai dengan ID mereka AWS .

    Tetapkan kebijakan ini kepada AWS pengguna yang membuat lowongan menggunakan antarmuka notebook diAWS Glue Studio.

  • AWSGlueConsoleSageMakerNotebookFullAccess— Memberikan akses penuh ke AWS Glue dan SageMaker sumber daya ketika identitas yang dilampirkan kebijakan menggunakan. AWS Management Console Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol yang mengelola SageMaker buku catatan.

  • AWSGlueSchemaRegistryFullAccess— Memberikan akses penuh ke sumber AWS Glue Schema Registry ketika identitas yang dilampirkan kebijakan menggunakan atau. AWS Management Console AWS CLI Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol atau AWS CLI yang mengelola Registri AWS Glue Skema.

  • AWSGlueSchemaRegistryReadonlyAccess— Memberikan akses hanya-baca ke sumber daya Registri AWS Glue Skema ketika identitas yang dilampirkan kebijakan menggunakan atau. AWS Management Console AWS CLI Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol atau AWS CLI yang menggunakan Registri AWS Glue Skema.

catatan

Anda dapat meninjau kebijakan izin ini dengan masuk ke IAM konsol dan mencari kebijakan tertentu di sana.

Anda juga dapat membuat IAM kebijakan kustom Anda sendiri untuk mengizinkan izin untuk tindakan dan sumber daya AWS Glue. Anda dapat melampirkan kebijakan khusus ini ke IAM pengguna atau grup yang memerlukan izin tersebut.

AWS Glue update ke kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS AWS terkelola untuk Glue sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di halaman riwayat AWS Glue Document.

Perubahan Deskripsi Tanggal
AwsGlueSessionUserRestrictedNotebookPolicy — Pembaruan kecil untuk kebijakan yang ada. Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create Agustus 30, 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create Agustus 30, 2024
AwsGlueSessionUserRestrictedPolicy — Pembaruan kecil untuk kebijakan yang ada. Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create Agustus 5, 2024
AwsGlueSessionUserRestrictedServiceRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create Agustus 5, 2024
AwsGlueSessionUserRestrictedPolicy — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. April 30, 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. April 30, 2024
AwsGlueSessionUserRestrictedServiceRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. April 30, 2024
AWSGlueServiceNotebookRole— Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. 30 Jan 2024
AwsGlueSessionUserRestrictedNotebookPolicy — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. Nov 29, 2023
AWSGlueServiceNotebookRole— Pembaruan kecil untuk kebijakan yang ada. Tambahkan codewhisperer:GenerateRecommendations ke kebijakan. Diperlukan untuk fitur baru di mana AWS Glue menghasilkan CodeWhisperer rekomendasi. Okt 9, 2023

AWSGlueServiceRole— Pembaruan kecil untuk kebijakan yang ada.

Kencangkan ruang lingkup CloudWatch izin untuk lebih mencerminkan logging AWS Glue. Agustus 4, 2023

AWSGlueConsoleFullAccess— Pembaruan kecil untuk kebijakan yang ada.

Tambahkan Daftar databrew resep dan Jelaskan izin ke kebijakan. Diperlukan untuk menyediakan akses administratif penuh untuk fitur-fitur baru di mana AWS Glue dapat mengakses resep. 9 Mei 2023

AWSGlueConsoleFullAccess— Pembaruan kecil untuk kebijakan yang ada.

Tambahkan cloudformation:ListStacks ke kebijakan. Mempertahankan kemampuan yang ada setelah perubahan persyaratan AWS CloudFormation otorisasi. Maret 28, 2023

Kebijakan terkelola baru ditambahkan untuk fitur sesi interaktif:

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRole

  • AwsGlueSessionUserRestrictedNotebookPolicy

Kebijakan ini dirancang untuk memberikan keamanan tambahan untuk sesi interaktif dan notebook diAWS Glue Studio. Kebijakan membatasi akses ke CreateSession API operasi sehingga hanya pemilik yang memiliki akses.

30 November 2021

AWSGlueConsoleSageMakerNotebookFullAccess— Perbarui ke kebijakan yang ada.

Menghapus resource redundan ARN (arn:aws:s3:::aws-glue-*/*) untuk tindakan yang memberikan izin baca/tulis di bucket AWS Glue Amazon S3 yang digunakan untuk menyimpan skrip dan file sementara.

Perbaikan masalah sintaksis dengan mengubah "StringEquals" menjadi "ForAnyValue:StringLike", dan memindahkan baris "Effect": "Allow" sehingga berada di depan baris "Action": saat urutan mereka tidak sebagaimana mestinya.

15 Juli 2021

AWSGlueConsoleFullAccess— Perbarui ke kebijakan yang ada.

Menghapus resource redundan ARN (arn:aws:s3:::aws-glue-*/*) untuk tindakan yang memberikan izin baca/tulis di bucket AWS Glue Amazon S3 yang digunakan untuk menyimpan skrip dan file sementara. 15 Juli 2021

AWS Gluemulai melacak perubahan.

AWS Gluemulai melacak perubahan untuk kebijakan yang AWS dikelola. 10 Juni 2021