Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pemberian kebijakan AWS terkelola untuk AWS Glue
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.
AWS kebijakan terkelola (standar) untuk AWS Glue
AWS mengatasi banyak kasus penggunaan umum dengan menyediakan IAM kebijakan mandiri yang dibuat dan dikelola oleh AWS. Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari keharusan menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.
Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke identitas di akun Anda, khusus untuk AWS Glue dan dikelompokkan berdasarkan skenario kasus penggunaan:
-
AWSGlueConsoleFullAccess
Memberikan akses penuh ke AWS Glue sumber daya ketika identitas yang dilampirkan kebijakan menggunakan. AWS Management Console Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol. -
AWSGlueServiceRole
— Memberikan akses ke sumber daya yang diperlukan berbagai AWS Glue proses untuk dijalankan atas nama Anda. Sumber daya ini termasukAWS Glue, Amazon S3,, CloudWatch LogIAM, dan Amazon. EC2 Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, AWS Glue proses memiliki izin yang diperlukan. Kebijakan ini biasanya dilampirkan pada peran yang ditentukan saat menentukan crawler, tugas, dan titik akhir pengembangan. -
AwsGlueSessionUserRestrictedServiceRole
— Menyediakan akses penuh ke semua AWS Glue sumber daya kecuali untuk sesi. Hal ini memungkinkan pengguna untuk membuat dan menggunakan hanya sesi interaktif yang terkait dengan pengguna. Kebijakan ini mencakup izin lain yang diperlukan AWS Glue untuk mengelola AWS Glue sumber daya di AWS layanan lain. Kebijakan ini juga memungkinkan penambahan tag ke AWS Glue sumber daya di AWS layanan lain. catatan
Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini kepada pengguna yang ditugaskan
AWSGlueServiceRole
,AWSGlueConsoleFullAccess
, atauAWSGlueConsoleSageMakerNotebookFullAccess
kebijakan. -
AwsGlueSessionUserRestrictedPolicy
— Menyediakan akses untuk membuat sesi AWS Glue interaktif menggunakan CreateSession
API operasi hanya jika kunci tag “pemilik” dan nilai yang cocok dengan ID AWS pengguna penerima tugas disediakan. Kebijakan identitas ini dilampirkan ke IAM pengguna yang memanggilCreateSession
API operasi. Kebijakan ini juga mengizinkan penerima tugas untuk berinteraksi dengan sumber daya sesi AWS Glue interaktif yang dibuat dengan tag “pemilik” dan nilai yang cocok dengan ID pengguna mereka. AWS Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi setelah sesi dibuat.catatan
Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini kepada pengguna yang ditugaskan
AWSGlueServiceRole
,AWSGlueConsoleFullAccess
, atauAWSGlueConsoleSageMakerNotebookFullAccess
kebijakan. -
AwsGlueSessionUserRestrictedNotebookServiceRole
— Menyediakan akses yang cukup ke sesi AWS Glue Studio notebook untuk berinteraksi dengan sumber daya sesi AWS Glue interaktif tertentu. Ini adalah sumber daya yang dibuat dengan nilai tag “pemilik” yang cocok dengan ID AWS pengguna prinsipal (IAMpengguna atau peran) yang membuat buku catatan. Untuk informasi selengkapnya tentang tag ini, lihat bagan Nilai kunci utama di Panduan IAM Pengguna. Kebijakan peran layanan ini dilampirkan pada peran yang ditentukan dengan perintah ajaib di dalam buku catatan atau diteruskan sebagai peran ke operasi.
CreateSession
API Kebijakan ini juga mengizinkan prinsipal untuk membuat sesi AWS Glue interaktif dari antarmuka AWS Glue Studio notebook hanya jika kunci tag “pemilik” dan nilai cocok dengan ID AWS pengguna prinsipal. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi setelah sesi dibuat. Kebijakan ini juga mencakup izin untuk menulis dan membaca dari bucket Amazon S3, CloudWatch menulis log, serta membuat serta menghapus tag untuk sumber daya EC2 Amazon yang digunakan oleh. AWS Gluecatatan
Untuk mencapai manfaat keamanan penuh, jangan berikan kebijakan ini untuk peran yang ditugaskan
AWSGlueServiceRole
,AWSGlueConsoleFullAccess
, atauAWSGlueConsoleSageMakerNotebookFullAccess
kebijakan. -
AwsGlueSessionUserRestrictedNotebookPolicy
— Menyediakan akses untuk membuat sesi AWS Glue interaktif dari antarmuka AWS Glue Studio notebook hanya jika ada kunci tag “pemilik” dan nilai yang cocok dengan AWS pengguna IDof prinsipal (IAMpengguna atau peran) yang membuat notebook. Untuk informasi selengkapnya tentang tag ini, lihat bagan Nilai kunci utama di Panduan IAM Pengguna. Kebijakan ini dilampirkan pada prinsipal (IAMpengguna atau peran) yang membuat sesi dari antarmuka AWS Glue Studio notebook. Kebijakan ini juga memungkinkan akses yang cukup ke AWS Glue Studio buku catatan untuk berinteraksi dengan sumber daya sesi AWS Glue interaktif tertentu. Ini adalah sumber daya yang dibuat dengan nilai tag “pemilik” yang cocok dengan ID AWS pengguna prinsipal. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi setelah sesi dibuat.
-
AWSGlueServiceNotebookRole
— Memberikan akses ke AWS Glue sesi yang dimulai di AWS Glue Studio buku catatan. Kebijakan ini memungkinkan daftar dan mendapatkan informasi sesi untuk semua sesi, tetapi hanya mengizinkan pengguna untuk membuat dan menggunakan sesi yang ditandai dengan ID AWS pengguna mereka. Kebijakan ini menolak izin untuk mengubah atau menghapus tag “pemilik” dari sumber daya AWS Glue sesi yang ditandai dengan ID mereka AWS . Tetapkan kebijakan ini kepada AWS pengguna yang membuat lowongan menggunakan antarmuka notebook diAWS Glue Studio.
-
AWSGlueConsoleSageMakerNotebookFullAccess
— Memberikan akses penuh ke AWS Glue dan SageMaker sumber daya ketika identitas yang dilampirkan kebijakan menggunakan. AWS Management Console Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol yang mengelola SageMaker buku catatan. -
AWSGlueSchemaRegistryFullAccess
— Memberikan akses penuh ke sumber AWS Glue Schema Registry ketika identitas yang dilampirkan kebijakan menggunakan atau. AWS Management Console AWS CLI Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol atau AWS CLI yang mengelola Registri AWS Glue Skema. -
AWSGlueSchemaRegistryReadonlyAccess
— Memberikan akses hanya-baca ke sumber daya Registri AWS Glue Skema ketika identitas yang dilampirkan kebijakan menggunakan atau. AWS Management Console AWS CLI Jika Anda mengikuti konvensi penamaan untuk sumber daya yang ditentukan dalam kebijakan ini, maka pengguna memiliki kemampuan konsol penuh. Kebijakan ini biasanya dilampirkan ke pengguna AWS Glue konsol atau AWS CLI yang menggunakan Registri AWS Glue Skema.
catatan
Anda dapat meninjau kebijakan izin ini dengan masuk ke IAM konsol dan mencari kebijakan tertentu di sana.
Anda juga dapat membuat IAM kebijakan kustom Anda sendiri untuk mengizinkan izin untuk tindakan dan sumber daya AWS Glue. Anda dapat melampirkan kebijakan khusus ini ke IAM pengguna atau grup yang memerlukan izin tersebut.
AWS Glue update ke kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS AWS terkelola untuk Glue sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di halaman riwayat AWS Glue Document.
Perubahan | Deskripsi | Tanggal |
---|---|---|
AwsGlueSessionUserRestrictedNotebookPolicy — Pembaruan kecil untuk kebijakan yang ada. | Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create |
Agustus 30, 2024 |
AwsGlueSessionUserRestrictedNotebookServiceRole — Pembaruan kecil untuk kebijakan yang ada. | Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create |
Agustus 30, 2024 |
AwsGlueSessionUserRestrictedPolicy — Pembaruan kecil untuk kebijakan yang ada. | Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create |
Agustus 5, 2024 |
AwsGlueSessionUserRestrictedServiceRole — Pembaruan kecil untuk kebijakan yang ada. | Tambahkan allow for glue:TagResource action pada kunci tag pemilik. Diperlukan untuk mendukung sesi dengan kunci tag pemilik. tag-on-create |
Agustus 5, 2024 |
AwsGlueSessionUserRestrictedPolicy — Pembaruan kecil untuk kebijakan yang ada. | Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. |
April 30, 2024 |
AwsGlueSessionUserRestrictedNotebookServiceRole — Pembaruan kecil untuk kebijakan yang ada. | Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. |
April 30, 2024 |
AwsGlueSessionUserRestrictedServiceRole — Pembaruan kecil untuk kebijakan yang ada. | Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. |
April 30, 2024 |
AWSGlueServiceNotebookRole— Pembaruan kecil untuk kebijakan yang ada. | Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. |
30 Jan 2024 |
AwsGlueSessionUserRestrictedNotebookPolicy — Pembaruan kecil untuk kebijakan yang ada. | Tambahkan glue:StartCompletion dan glue:GetCompletion ke kebijakan. Diperlukan untuk integrasi data Amazon Q di AWS Glue. |
Nov 29, 2023 |
AWSGlueServiceNotebookRole— Pembaruan kecil untuk kebijakan yang ada. | Tambahkan codewhisperer:GenerateRecommendations ke kebijakan. Diperlukan untuk fitur baru di mana AWS Glue menghasilkan CodeWhisperer rekomendasi. |
Okt 9, 2023 |
AWSGlueServiceRole— Pembaruan kecil untuk kebijakan yang ada. |
Kencangkan ruang lingkup CloudWatch izin untuk lebih mencerminkan logging AWS Glue. | Agustus 4, 2023 |
AWSGlueConsoleFullAccess— Pembaruan kecil untuk kebijakan yang ada. |
Tambahkan Daftar databrew resep dan Jelaskan izin ke kebijakan. Diperlukan untuk menyediakan akses administratif penuh untuk fitur-fitur baru di mana AWS Glue dapat mengakses resep. |
9 Mei 2023 |
AWSGlueConsoleFullAccess— Pembaruan kecil untuk kebijakan yang ada. |
Tambahkan cloudformation:ListStacks ke kebijakan. Mempertahankan kemampuan yang ada setelah perubahan persyaratan AWS CloudFormation otorisasi. |
Maret 28, 2023 |
Kebijakan terkelola baru ditambahkan untuk fitur sesi interaktif:
|
Kebijakan ini dirancang untuk memberikan keamanan tambahan untuk sesi interaktif dan notebook diAWS Glue Studio. Kebijakan membatasi akses ke |
30 November 2021 |
AWSGlueConsoleSageMakerNotebookFullAccess— Perbarui ke kebijakan yang ada. |
Menghapus resource redundan ARN ( Perbaikan masalah sintaksis dengan mengubah |
15 Juli 2021 |
AWSGlueConsoleFullAccess— Perbarui ke kebijakan yang ada. |
Menghapus resource redundan ARN (arn:aws:s3:::aws-glue-*/* ) untuk tindakan yang memberikan izin baca/tulis di bucket AWS Glue Amazon S3 yang digunakan untuk menyimpan skrip dan file sementara. |
15 Juli 2021 |
AWS Gluemulai melacak perubahan. |
AWS Gluemulai melacak perubahan untuk kebijakan yang AWS dikelola. | 10 Juni 2021 |