Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Configurazione delle autorizzazioni IAM per AWS Glue Data Quality

PDF
RSS
Modalità Focus
Configurazione delle autorizzazioni IAM per AWS Glue Data Quality - AWS Glue
Autorizzazioni IAMConfigurazione IAM richiesta per la pianificazione delle esecuzioni di valutazionePolicy IAM di esempio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Questo argomento fornisce informazioni per aiutarti a comprendere le azioni e le risorse che un amministratore IAM può utilizzare in una policy AWS Identity and Access Management (IAM) per AWS Glue Data Quality. Include anche esempi di policy IAM con le autorizzazioni minime necessarie per utilizzare AWS Glue Data Quality con il AWS Glue Data Catalog.

Per ulteriori informazioni sulla sicurezza in AWS Glue, vedereSicurezza in AWS Glue.

Autorizzazioni IAM per AWS Glue Data Quality

La tabella seguente elenca le autorizzazioni richieste a un utente per eseguire operazioni di Qualità dei dati di AWS Glue specifiche. Per impostare un'autorizzazione granulare per AWS Glue Data Quality, puoi specificare queste azioni nell'Actionelemento di una dichiarazione di policy IAM.

AWS Azioni di Glue Data Quality
Azione Descrizione Tipi di risorsa
glue:CreateDataQualityRuleset Concede l'autorizzazione per creare un set di regole di qualità dei dati. ::dataQualityRuleset/<name>
glue:DeleteDataQualityRuleset Concede l'autorizzazione per eliminare un set di regole di qualità dei dati. ::dataQualityRuleset/<name>
glue:GetDataQualityRuleset Concede l'autorizzazione per recuperare un set di regole di qualità dei dati. ::dataQualityRuleset/<name>
glue:ListDataQualityRulesets Concede l'autorizzazione per recuperare tutti i set di regole di qualità dei dati. ::dataQualityRuleset/*
glue:UpdateDataQualityRuleset Concede l'autorizzazione per aggiornare un set di regole di qualità dei dati. ::dataQualityRuleset/<name>
glue:GetDataQualityResult Concede l'autorizzazione per recuperare un risultato di esecuzione dell'attività di qualità dei dati. Questa azione IAM fornisce anche le autorizzazioni per le seguenti API:

  • BatchGetDataQualityQualityResult

  • ListDataQualityStatistics

  • ListDataQualityStatisticAnnotations

 ::dataQualityRuleset/<name>
glue:ListDataQualityResults Concede l'autorizzazione per recuperare i risultati di tutte le esecuzioni delle attività di qualità dei dati. ::dataQualityRuleset/*
glue:CancelDataQualityRuleRecommendationRun Concede l'autorizzazione per interrompere l'esecuzione dell'attività di raccomandazione di qualità dei dati in corso. ::dataQualityRuleset/*
glue:GetDataQualityRuleRecommendationRun Concede l'autorizzazione per recuperare l'esecuzione di un'attività di raccomandazione di qualità dei dati. ::dataQualityRuleset/*
glue:ListDataQualityRuleRecommendationRuns Concede l'autorizzazione per recuperare tutte le esecuzioni dell'attività di raccomandazione di qualità dei dati. ::dataQualityRuleset/*
glue:StartDataQualityRuleRecommendationRun Concede l'autorizzazione per iniziare l'esecuzione di un'attività di raccomandazione di qualità dei dati. ::dataQualityRuleset/*
glue:CancelDataQualityRulesetEvaluationRun Concede l'autorizzazione per interrompere l'esecuzione dell'attività di qualità dei dati in corso. ::dataQualityRuleset/*
glue:GetDataQualityRulesetEvaluationRun Concede l'autorizzazione per recuperare una esecuzione dell'attività di qualità dei dati. ::dataQualityRuleset/*
glue:ListDataQualityRulesetEvaluationRuns Concede l'autorizzazione per recuperare tutte le esecuzioni dell'attività di qualità dei dati. ::dataQualityRuleset/*
glue:StartDataQualityRulesetEvaluationRun Concede l'autorizzazione per iniziare l'esecuzione di un'attività di qualità dei dati. ::dataQualityRuleset/<name>
glue:PublishDataQuality Concede l'autorizzazione a pubblicare i risultati sulla qualità dei dati. ::dataQualityRuleset/<name>
glue:GetDataQualityModel Concede l'autorizzazione a recuperare il modello di qualità dei dati. ::dataQualityRuleset/<name>, ::job/<name>
glue:GetDataQualityModelResult Concede l'autorizzazione a recuperare i risultati del modello di qualità dei dati. ::dataQualityRuleset/<name>, ::job/<name>
glue:PutDataQualityStatisticAnnotation Concede l'autorizzazione ad aggiungere annotazioni a Statistics. Questa azione IAM fornisce anche le autorizzazioni per le seguenti API:

  • BatchPutDataQualityStatisticAnnotation

::dataQualityRuleset/<name>, ::job/<name>
glue:PutDataQualityProfileAnnotation Concede il permesso di inserire annotazioni in tutte le statistiche di un profilo. ::dataQualityRuleset/<name>, ::job/<name>

Configurazione IAM richiesta per la pianificazione delle esecuzioni di valutazione

Autorizzazioni IAM

Per eseguire esecuzioni di valutazione pianificate della qualità dei dati, devi aggiungere l'operazione IAM:PassRole alla policy delle autorizzazioni.

AWS EventBridge Autorizzazioni richieste da Scheduler
Azione Descrizione Tipi di risorsa
iam:PassRole Concede a IAM l'autorizzazione per consentire all'utente di trasmettere i ruoli approvati. ARN del ruolo utilizzato per chiamare StartDataQualityRulesetEvaluationRun

Senza queste autorizzazioni si verifica il seguente errore:

"errorCode": "AccessDenied"
"errorMessage": "User: arn:aws:sts::account_id:assumed-role/AWSGlueServiceRole is not 
authorized to perform: iam:PassRole on resource: arn:aws:iam::account_id:role/service-role/AWSGlueServiceRole 
because no identity-based policy allows the iam:PassRole action"

Entità attendibili di IAM

I servizi AWS Glue and AWS EventBridge Scheduler devono essere elencati nelle entità attendibili per creare ed eseguire una pianificazione. StartDataQualityEvaluationRun

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "glue.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "scheduler.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Policy IAM di esempio

Un ruolo IAM per AWS Glue Data Quality richiede i seguenti tipi di autorizzazioni:

  • Autorizzazioni per le operazioni di AWS Glue Data Quality in modo da poter ottenere le regole di qualità dei dati consigliate ed eseguire un'attività di qualità dei dati su una tabella nel AWS Glue Data Catalog. Le politiche IAM di esempio in questa sezione includono le autorizzazioni minime richieste per le operazioni di AWS Glue Data Quality.

  • Autorizzazioni che concedono l'accesso alla tabella del catalogo dati e ai dati sottostanti. Queste autorizzazioni sono diverse a seconda del caso d'uso. Ad esempio, per i dati che cataloghi in Amazon S3, le autorizzazioni devono includere l'accesso ad Amazon S3.

    Nota

    È necessario configurare le autorizzazioni Amazon S3 oltre alle autorizzazioni descritte in questa sezione.

Autorizzazioni minime per ottenere le regole di qualità dei dati consigliate

Questa policy di esempio include le autorizzazioni necessarie per generare regole di qualità dei dati consigliate. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowGlueRuleRecommendationRunActions",
      "Effect": "Allow",
      "Action": [
        "glue:GetDataQualityRuleRecommendationRun",
        "glue:PublishDataQuality",
        "glue:CreateDataQualityRuleset"
      ],
      "Resource": "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*"
    },
	{
     "Sid": "AllowCatalogPermissions",
     "Effect": "Allow",
     "Action": [
        "glue:GetPartitions",
        "glue:GetTable"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowS3GetObjectToRunRuleRecommendationTask",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": "arn:aws:s3:::aws-glue-*"
    },
	{   // Optional for Logs
        "Sid": "AllowPublishingCloudwatchLogs",
        "Effect": "Allow",
        "Action": [
          "logs:CreateLogStream",
          "logs:CreateLogGroup",
          "logs:PutLogEvents"
        ],
        "Resource": "*"
    },
  ]
}

Autorizzazioni minime per l'esecuzione di un'attività di qualità dei dati

Questa policy di esempio include le autorizzazioni necessarie per eseguire un'attività di valutazione della qualità dei dati.

Le seguenti dichiarazioni di policy sono facoltative, a seconda del caso d'uso:

  • AllowCloudWatchPutMetricDataToPublishTaskMetrics - Obbligatorio se desideri pubblicare i parametri di esecuzione della qualità dei dati in Amazon CloudWatch.

  • AllowS3PutObjectToWriteTaskResults - Obbligatorio se desideri scrivere i risultati di esecuzione della qualità dei dati su Amazon S3.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowGlueGetDataQualityRuleset",
      "Effect": "Allow",
      "Action": [
        "glue:GetDataQualityRuleset"
      ],
      "Resource": "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/<YOUR-RULESET-NAME>"
    },
    {
      "Sid": "AllowGlueRulesetEvaluationRunActions",
      "Effect": "Allow",
      "Action": [
        "glue:GetDataQualityRulesetEvaluationRun",
        "glue:PublishDataQuality"
      ],
      "Resource": "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*"
    },
	{
      "Sid": "AllowCatalogPermissions",
      "Effect": "Allow",
      "Action": [
        "glue:GetPartitions",
        "glue:GetTable"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowS3GetObjectForRulesetEvaluationRun",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": "arn:aws:s3:::aws-glue-*"
    },
    {
      "Sid": "AllowCloudWatchPutMetricDataToPublishTaskMetrics",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloudwatch:namespace": "Glue Data Quality"
        }
      }
    },
    {
      "Sid": "AllowS3PutObjectToWriteTaskResults",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject*"
      ],
      "Resource": "arn:aws:s3:::<YOUR-BUCKET-NAME>/*"
    }
  ]
}

Autorizzazioni minime per eseguire un processo ETL per la qualità dei dati

Questa politica di esempio include le autorizzazioni necessarie per eseguire un Job ETL di qualità dei dati. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowGluePublishDataQualityResult",
      "Effect": "Allow",
      "Action": [
        "glue:PublishDataQuality"
      ],
      "Resource": "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*"
    },
    //Optional to retrieve results, observation generation, 
    //dynamic rules and DetectAnomalies
    {
      "Sid": "AllowGlueGetDataQualityResult",
      "Effect": "Allow",
      "Action": [
        "glue:GetDataQualityResult"
      ],
      "Resource": "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*"
    },
    //Optional to allow annotating statistics
    {
      "Sid": "AllowGlueDataQualityStatisticAnnotation",
      "Effect": "Allow",
      "Action": [
        "glue:PutDataQualityStatisticAnnotation"
      ],
      "Resource": [
        "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*",
        "arn:aws:glue:us-east-1:111122223333::job/{JobName}"
      ]
    },
    //Optional to allow annotating all statistics in a profile
    {
      "Sid": "AllowGlueDataQualityProfileAnnotation",
      "Effect": "Allow",
      "Action": [
        "glue:PutDataQualityProfileAnnotation"
      ],
      "Resource": [
        "arn:aws:glue:us-east-1:111122223333:dataQualityRuleset/*",
        "arn:aws:glue:us-east-1:111122223333::job/{JobName}"
      ]
    }
}

In questa pagina

Related resources

AWS Glue DataBrew Guida per gli sviluppatori
AWS CLI comandi per AWS Glue
SDKs & Strumenti 

Related resources

AWS Glue DataBrew Guida per gli sviluppatori
AWS CLI comandi per AWS Glue
SDKs & Strumenti 
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.