Concessione di politiche AWS gestite per AWS Glue - AWS Glue

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione di politiche AWS gestite per AWS Glue

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove API operazioni per i servizi esistenti.

Per ulteriori informazioni, consulta Policy gestite da AWSnellaGuida per l'utente IAM.

AWS politiche gestite (predefinite) per AWS Glue

AWS affronta molti casi d'uso comuni fornendo IAM politiche autonome create e amministrate da. AWS Queste policy AWS gestite concedono le autorizzazioni necessarie per i casi d'uso comuni in modo da evitare di dover verificare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consulta Policy gestite da AWSnellaGuida per l'utente IAM.

Le seguenti politiche AWS gestite, che puoi allegare alle identità del tuo account, sono specifiche per AWS Glue e sono raggruppati per scenario d'uso:

  • AWSGlueConsoleFullAccess— Garantisce l'accesso completo a AWS Glue risorse quando un'identità a cui è associata la politica utilizza il AWS Management Console. Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questa politica è in genere associata agli utenti di AWS Glue console.

  • AWSGlueServiceRole— Garantisce l'accesso a risorse così diverse AWS Glue i processi devono essere eseguiti per conto dell'utente. Queste risorse includono AWS Glue, Amazon S3IAM, CloudWatch Logs e Amazon. EC2 Se segui la convenzione di denominazione delle risorse specificata in questa politica, AWS Glue i processi dispongono delle autorizzazioni richieste. Questa policy è in genere collegata ai ruoli specificati quando si definiscono crawler, processi ed endpoint di sviluppo.

  • AwsGlueSessionUserRestrictedServiceRole— Fornisce accesso completo a tutti AWS Glue risorse ad eccezione delle sessioni. Permette agli utenti di creare e utilizzare solo le sessioni interattive associate all'utente. Questa politica include altre autorizzazioni necessarie per AWS Glue gestire AWS Glue risorse in altri AWS servizi. La politica consente anche di aggiungere tag a AWS Glue risorse in altri AWS servizi.

    Nota

    Per ottenere tutti i vantaggi della sicurezza, non concedere questa policy a un utente a cui sia stata assegnata la policy AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedPolicy— Fornisce l'accesso per creare AWS Glue sessioni interattive che utilizzano l'CreateSessionAPIoperazione solo se vengono forniti una chiave di tag «proprietario» e un valore che corrispondono all'ID AWS utente dell'assegnatario. Questa politica di identità è allegata all'IAMutente che richiama l'operazione. CreateSession API Questa politica consente inoltre all'assegnatario di interagire con AWS Glue risorse di sessione interattive create con un tag e un valore «owner» che corrispondono al relativo ID utente. AWS Questa politica nega l'autorizzazione a modificare o rimuovere i tag «proprietario» da un AWS Glue risorsa di sessione dopo la creazione della sessione.

    Nota

    Per ottenere tutti i vantaggi della sicurezza, non concedere questa policy a un utente a cui sia stata assegnata la policy AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedNotebookServiceRole— Fornisce un accesso sufficiente a AWS Glue Studio sessione notebook con cui interagire in modo specifico AWS Glue risorse di sessione interattive. Si tratta di risorse create con il valore del tag «proprietario» che corrisponde all'ID AWS utente del principale (IAMutente o ruolo) che crea il notebook. Per ulteriori informazioni su questi tag, consulta la tabella dei valori chiave principali nella Guida per l'IAMutente.

    Questa politica relativa ai ruoli di servizio è associata al ruolo specificato con un comando magico all'interno del notebook o passato come ruolo all'CreateSessionAPIoperazione. Questa politica consente inoltre al preside di creare un AWS Glue sessione interattiva dal AWS Glue Studio interfaccia notebook solo se la chiave del tag «proprietario» e il valore corrispondono AWS all'ID utente del principale. Questa politica nega l'autorizzazione a modificare o rimuovere i tag «proprietario» da un AWS Glue risorsa di sessione dopo la creazione della sessione. Questa politica include anche le autorizzazioni per la scrittura e la lettura da bucket Amazon S3, la CloudWatch scrittura di log e la creazione ed eliminazione di tag per le risorse Amazon utilizzate da EC2 AWS Glue.

    Nota

    Per ottenere tutti i vantaggi della sicurezza, non concedere questa policy a un ruolo a cui sia stata assegnata la policy AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedNotebookPolicy— Fornisce l'accesso per creare un AWS Glue sessione interattiva dal AWS Glue Studio interfaccia del notebook solo se sono presenti un tag, una chiave «proprietario» e un valore che corrispondono IDof all' AWS utente principale (IAMutente o ruolo) che crea il notebook. Per ulteriori informazioni su questi tag, consultate la tabella dei valori chiave principali nella Guida per l'IAMutente.

    Questa politica è associata al principale (IAMutente o ruolo) che crea le sessioni dal AWS Glue Studio interfaccia notebook. Questa politica consente inoltre un accesso sufficiente a AWS Glue Studio notebook con cui interagire in modo specifico AWS Glue risorse di sessione interattive. Si tratta di risorse create con il valore del tag «owner» che corrisponde all'ID AWS utente del principale. Questa politica nega l'autorizzazione a modificare o rimuovere i tag «proprietario» da un AWS Glue risorsa di sessione dopo la creazione della sessione.

  • AWSGlueServiceNotebookRole— Concede l'accesso a AWS Glue sessioni iniziate in un AWS Glue Studio taccuino. Questa politica consente di elencare e ottenere informazioni sulla sessione per tutte le sessioni, ma consente solo agli utenti di creare e utilizzare le sessioni contrassegnate con il proprio ID AWS utente. Questa politica nega l'autorizzazione a modificare o rimuovere i tag «proprietario» da AWS Glue risorse di sessione contrassegnate con il relativo AWS ID.

    Assegna questo criterio all' AWS utente che crea lavori utilizzando l'interfaccia del notebook in AWS Glue Studio.

  • AWSGlueConsoleSageMakerNotebookFullAccess— Garantisce l'accesso completo alle risorse AWS Glue e SageMaker AI quando l'identità a cui è associata la policy utilizza il AWS Management Console. Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questa politica è in genere associata agli utenti di AWS Glue console che gestisce i notebook SageMaker AI.

  • AWSGlueSchemaRegistryFullAccess— Garantisce l'accesso completo a AWS Glue Risorse del registro dello schema quando l'identità a cui è associata la politica utilizza AWS Management Console o AWS CLI. Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questo criterio è in genere associato agli utenti di AWS Glue console o AWS CLI chi gestisce il AWS Glue Registro degli schemi.

  • AWSGlueSchemaRegistryReadonlyAccess— Garantisce l'accesso in sola lettura a AWS Glue Risorse del registro dello schema quando un'identità a cui è associata la politica utilizza o. AWS Management Console AWS CLI Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questa politica è in genere associata agli utenti di AWS Glue console o AWS CLI chi utilizza il AWS Glue Registro degli schemi.

Nota

Per esaminare queste policy di autorizzazione, accedi alla console IAM ed esegui la ricerca delle policy specifiche.

Puoi anche creare IAM politiche personalizzate per consentire le autorizzazioni per le azioni e le risorse di AWS Glue. Puoi collegare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono le autorizzazioni.

AWS Glue gli aggiornamenti alle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per AWS Glue da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia di AWS Glue Document.

Modifica Descrizione Data
AwsGlueSessionUserRestrictedNotebookPolicy — Aggiornamento minore di una politica esistente. Aggiungi allow for glue:TagResource action sulla chiave del tag owner. Necessario tag-on-create per supportare le sessioni con la chiave del tag owner. 30 agosto 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Aggiornamento minore di una politica esistente. Aggiungi allow for glue:TagResource action sulla chiave del tag owner. Necessario tag-on-create per supportare le sessioni con la chiave del tag owner. 30 agosto 2024
AwsGlueSessionUserRestrictedPolicy — Aggiornamento minore di una politica esistente. Aggiungi allow for glue:TagResource action sulla chiave del tag owner. Necessario tag-on-create per supportare le sessioni con la chiave del tag owner. 5 agosto 2024
AwsGlueSessionUserRestrictedServiceRole — Aggiornamento minore di una politica esistente. Aggiungi allow for glue:TagResource action sulla chiave del tag owner. Necessario tag-on-create per supportare le sessioni con la chiave del tag owner. 5 agosto 2024
AwsGlueSessionUserRestrictedPolicy — Aggiornamento minore di una politica esistente. Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione dei dati di Amazon Q in AWS Glue. 30 aprile 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Aggiornamento minore di una politica esistente. Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione dei dati di Amazon Q in AWS Glue. 30 aprile 2024
AwsGlueSessionUserRestrictedServiceRole — Aggiornamento minore di una politica esistente. Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione dei dati di Amazon Q in AWS Glue. 30 aprile 2024
AWSGlueServiceNotebookRole— Aggiornamento minore di una politica esistente. Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione dei dati di Amazon Q in AWS Glue. 30 gennaio 2024
AwsGlueSessionUserRestrictedNotebookPolicy — Aggiornamento minore di una politica esistente. Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione dei dati di Amazon Q in AWS Glue. 29 novembre 2023
AWSGlueServiceNotebookRole— Aggiornamento minore di una politica esistente. Aggiungi codewhisperer:GenerateRecommendations alla policy. Richiesto per una nuova funzionalità in cui AWS Glue genera CodeWhisperer consigli. 9 ottobre 2023

AWSGlueServiceRole— Aggiornamento minore di una politica esistente.

Restringi l'ambito delle CloudWatch autorizzazioni per riflettere meglio la registrazione di AWS Glue. 4 agosto 2023

AWSGlueConsoleFullAccess— Aggiornamento minore di una politica esistente.

Aggiungi le autorizzazioni Elenca e Descrivi per le ricette databrew alla policy. Necessario per fornire l'accesso amministrativo completo alle nuove funzionalità in cui AWS Glue può accedere alle ricette. 9 maggio 2023

AWSGlueConsoleFullAccess— Aggiornamento minore di una politica esistente.

Aggiungi cloudformation:ListStacks alla policy. Conserva le funzionalità esistenti dopo le modifiche ai requisiti di AWS CloudFormation autorizzazione. 28 marzo 2023

Aggiunte nuove policy gestite per la funzionalità sessioni interattive:

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRole

  • AwsGlueSessionUserRestrictedNotebookPolicy

Queste policy sono state progettate per fornire ulteriore sicurezza per le sessioni interattive e i notebook in AWS Glue Studio. Le politiche limitano l'accesso all'CreateSessionAPIoperazione in modo che solo il proprietario possa accedervi.

30 novembre 2021

AWSGlueConsoleSageMakerNotebookFullAccess: aggiorna a una policy esistente.

È stata rimossa una risorsa ridondante ARN (arn:aws:s3:::aws-glue-*/*) per l'azione che concede autorizzazioni di lettura/scrittura sui bucket Amazon S3 che AWS Glue utilizza per archiviare script e file temporanei.

Risolto un problema di sintassi modificando "StringEquals" in "ForAnyValue:StringLike" e spostate le righe "Effect": "Allow" per precedere la riga "Action": in ogni luogo in cui erano fuori uso.

15 luglio 2021

AWSGlueConsoleFullAccess: aggiorna a una policy esistente.

È stata rimossa una risorsa ridondante ARN (arn:aws:s3:::aws-glue-*/*) per l'azione che concede autorizzazioni di lettura/scrittura sui bucket Amazon S3 che AWS Glue utilizza per archiviare script e file temporanei. 15 luglio 2021

AWS Glue ha iniziato a tenere traccia delle modifiche.

AWS Glue ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. 10 giugno 2021