AWS kebijakan terkelola untuk AWS Glue - AWS Glue

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk AWS Glue

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat kebijakan yang dikelola AWS dalam Panduan Pengguna IAM.

AWS kebijakan terkelola (standar) untuk AWS Glue

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari keharusan menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat kebijakan yang dikelola AWS dalam Panduan Pengguna IAM.

Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke identitas di akun Anda, khusus untuk AWS Glue dan dikelompokkan berdasarkan skenario kasus penggunaan:

  • AWSGlueConsoleFullAccessMemberikan akses penuh ke AWS Glue sumber daya ketika identitas yang dilampirkan kebijakan menggunakan. AWS Management Console Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol.

  • AWSGlueServiceRole— Memberikan akses ke sumber daya yang diperlukan berbagai AWS Glue proses untuk dijalankan atas nama Anda. Sumber daya ini termasukAWS Glue, Amazon S3, IAM, CloudWatch Log, dan Amazon EC2. Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, AWS Glue proses memiliki izin yang diperlukan. Kebijakan ini biasanya dilampirkan pada peran yang ditentukan saat menentukan crawler, tugas, dan titik akhir pengembangan.

  • AwsGlueSessionUserRestrictedServiceRole— Menyediakan akses penuh ke semua AWS Glue sumber daya kecuali untuk sesi. Hal ini memungkinkan pengguna untuk membuat dan menggunakan hanya sesi interaktif yang terkait dengan pengguna. Kebijakan ini mencakup izin lain yang diperlukan AWS Glue untuk mengelola AWS Glue sumber daya di AWS layanan lain. Kebijakan ini juga memungkinkan penambahan tag ke AWS Glue sumber daya di AWS layanan lain.

    catatan

    Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini kepada pengguna yang ditugaskan AWSGlueServiceRoleAWSGlueConsoleFullAccess, atau AWSGlueConsoleSageMakerNotebookFullAccess kebijakan.

  • AwsGlueSessionUserRestrictedPolicy— Menyediakan akses untuk membuat sesi AWS Glue interaktif menggunakan operasi CreateSession API hanya jika kunci tag “pemilik” dan nilai yang cocok dengan ID AWS pengguna penerima tugas disediakan. Kebijakan identitas ini dilampirkan ke pengguna IAM yang memanggil operasi CreateSession API. Kebijakan ini juga mengizinkan penerima tugas untuk berinteraksi dengan sumber daya sesi AWS Glue interaktif yang dibuat dengan tag “pemilik” dan nilai yang cocok dengan ID pengguna mereka. AWS Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi setelah sesi dibuat.

    catatan

    Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini kepada pengguna yang ditugaskan AWSGlueServiceRoleAWSGlueConsoleFullAccess, atau AWSGlueConsoleSageMakerNotebookFullAccess kebijakan.

  • AwsGlueSessionUserRestrictedNotebookServiceRole— Menyediakan akses yang cukup ke sesi AWS Glue Studio notebook untuk berinteraksi dengan sumber daya sesi AWS Glue interaktif tertentu. Ini adalah sumber daya yang dibuat dengan nilai tag “pemilik” yang cocok dengan ID AWS pengguna prinsipal (pengguna atau peran IAM) yang membuat buku catatan. Untuk informasi selengkapnya tentang tag ini, lihat bagan Nilai kunci utama di Panduan Pengguna IAM.

    Kebijakan peran layanan ini dilampirkan ke peran yang ditentukan dengan perintah ajaib di dalam buku catatan atau diteruskan sebagai peran ke operasi CreateSession API. Kebijakan ini juga mengizinkan prinsipal untuk membuat sesi AWS Glue interaktif dari antarmuka AWS Glue Studio notebook hanya jika kunci tag “pemilik” dan nilai cocok dengan ID AWS pengguna prinsipal. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi setelah sesi dibuat. Kebijakan ini juga mencakup izin untuk menulis dan membaca dari bucket Amazon S3, CloudWatch menulis log, serta membuat serta menghapus tag untuk sumber daya Amazon EC2 yang digunakan oleh. AWS Glue

    catatan

    Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini untuk peran yang ditugaskanAWSGlueServiceRole,AWSGlueConsoleFullAccess, atau AWSGlueConsoleSageMakerNotebookFullAccess kebijakan.

  • AwsGlueSessionUserRestrictedNotebookPolicy— Menyediakan akses untuk membuat sesi AWS Glue interaktif dari antarmuka AWS Glue Studio notebook hanya jika ada kunci tag “pemilik” dan nilai yang cocok dengan ID AWS penggunaDari prinsipal (pengguna atau peran IAM) yang membuat buku catatan. Untuk informasi selengkapnya tentang tag ini, lihat bagan Nilai kunci utama di Panduan Pengguna IAM.

    Kebijakan ini dilampirkan pada prinsipal (pengguna atau peran IAM) yang membuat sesi dari antarmuka AWS Glue Studio notebook. Kebijakan ini juga memungkinkan akses yang cukup ke AWS Glue Studio buku catatan untuk berinteraksi dengan sumber daya sesi AWS Glue interaktif tertentu. Ini adalah sumber daya yang dibuat dengan nilai tag “pemilik” yang cocok dengan ID AWS pengguna prinsipal. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi setelah sesi dibuat.

  • AWSGlueServiceNotebookRole— Memberikan akses ke AWS Glue sesi yang dimulai di AWS Glue Studio buku catatan. Kebijakan ini memungkinkan daftar dan mendapatkan informasi sesi untuk semua sesi, tetapi hanya mengizinkan pengguna untuk membuat dan menggunakan sesi yang ditandai dengan ID AWS pengguna mereka. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi yang ditandai dengan ID mereka AWS .

    Tetapkan kebijakan ini kepada AWS pengguna yang membuat lowongan menggunakan antarmuka notebook diAWS Glue Studio.

  • AWSGlueConsoleSageMakerNotebookFullAccess— Memberikan akses penuh ke AWS Glue dan SageMaker sumber daya ketika identitas yang dilampirkan kebijakan menggunakan. AWS Management Console Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol yang mengelola SageMaker buku catatan.

  • AWSGlueSchemaRegistryFullAccessMemberikan akses penuh ke sumber AWS Glue Schema Registry ketika identitas yang dilampirkan kebijakan menggunakan atau. AWS Management Console AWS CLI Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol atau AWS CLI yang mengelola Registri AWS Glue Skema.

  • AWSGlueSchemaRegistryReadonlyAccess— Memberikan akses hanya-baca ke sumber daya Registri AWS Glue Skema ketika identitas yang dilampirkan kebijakan menggunakan atau. AWS Management Console AWS CLI Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol atau AWS CLI yang menggunakan Registri AWS Glue Skema.

catatan

Anda dapat meninjau kebijakan-kebijakan izin ini dengan masuk ke konsol IAM dan mencari kebijakan-kebijakan tertentu di sana.

Anda juga dapat membuat kebijakan IAM khusus Anda sendiri untuk memberikan izin untuk tindakan dan sumber daya Glue AWS . Anda dapat melampirkan kebijakan-kebijakan kustom ini ke pengguna IAM atau grup yang memerlukan izin-izin tersebut.

AWS Glue update ke kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS AWS terkelola untuk Glue sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat AWS Glue Document.

Perubahan Deskripsi Tanggal
AwsGlueSessionUserRestrictedPolicy — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. April, 30, 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. April, 30, 2024
AwsGlueSessionUserRestrictedServiceRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. April, 30, 2024
AWSGlueServiceNotebookRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. Jan 30, 2024
AwsGlueSessionUserRestrictedNotebookPolicy — Pembaruan kecil untuk kebijakan yang ada. Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. Nov 29, 2023
AWSGlueServiceNotebookRole — Pembaruan kecil untuk kebijakan yang ada. Tambahkan codewhisperer:GenerateRecommendations ke kebijakan. Diperlukan untuk fitur baru di mana AWS Glue menghasilkan CodeWhisperer rekomendasi. Okt 9, 2023

AWSGlueServiceRole — Pembaruan kecil untuk kebijakan yang ada.

Kencangkan ruang lingkup CloudWatch izin untuk lebih mencerminkan logging AWS Glue. Agustus 4, 2023

AWSGlueConsoleFullAccess — Pembaruan kecil untuk kebijakan yang ada.

Tambahkan Daftar databrew resep dan Jelaskan izin ke kebijakan. Diperlukan untuk menyediakan akses administratif penuh untuk fitur-fitur baru di mana AWS Glue dapat mengakses resep. 9 Mei 2023

AWSGlueConsoleFullAccess — Pembaruan kecil untuk kebijakan yang ada.

Tambahkan cloudformation:ListStacks ke kebijakan. Mempertahankan kemampuan yang ada setelah perubahan persyaratan AWS CloudFormation otorisasi. Maret 28, 2023

Kebijakan terkelola baru ditambahkan untuk fitur sesi interaktif:

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRole

  • AwsGlueSessionUserRestrictedNotebookPolicy

Kebijakan ini dirancang untuk memberikan keamanan tambahan untuk sesi interaktif dan notebook diAWS Glue Studio. Kebijakan membatasi akses ke operasi CreateSession API sehingga hanya pemilik yang memiliki akses.

30 November 2021

AWSGlueConsoleSageMakerNotebookFullAccess — Perbarui ke kebijakan yang ada.

Menghapus sumber daya ARN (arn:aws:s3:::aws-glue-*/*) redundan untuk tindakan yang memberikan izin baca/tulis di bucket Amazon S3 yang digunakan untuk menyimpan skrip dan file sementaraAWS Glue.

Perbaikan masalah sintaksis dengan mengubah "StringEquals" menjadi "ForAnyValue:StringLike", dan memindahkan baris "Effect": "Allow" sehingga berada di depan baris "Action": saat urutan mereka tidak sebagaimana mestinya.

15 Juli 2021

AWSGlueConsoleFullAccess — Perbarui ke kebijakan yang ada.

Menghapus sumber daya ARN (arn:aws:s3:::aws-glue-*/*) redundan untuk tindakan yang memberikan izin baca/tulis di bucket Amazon S3 yang digunakan untuk menyimpan skrip dan file sementaraAWS Glue. 15 Juli 2021

AWS Gluemulai melacak perubahan.

AWS Gluemulai melacak perubahan untuk kebijakan yang AWS dikelola. 10 Juni 2021