AWS Glue のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Glue のアクション、リソース、および条件キー

AWS Glue (サービスプレフィックス: glue) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Glue で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
BatchCreatePartition 1 つ以上のパーティションを作成するアクセス許可を付与します。 書き込み

catalog*

database*

table*

BatchDeleteConnection 1 つ以上の接続を削除するアクセス許可を付与します。 書き込み

catalog*

connection*

BatchDeletePartition 1 つ以上のパーティションを削除するアクセス許可を付与します。 書き込み

catalog*

database*

table*

BatchDeleteTable 1 つ以上のテーブルを削除するアクセス許可を付与します。 書き込み

catalog*

database*

table*

BatchDeleteTableVersion テーブルの 1 つ以上のバージョンを削除するアクセス許可を付与します。 書き込み

catalog*

database*

table*

tableversion*

BatchGetCrawlers 1 つ以上のクローラを取得するアクセス許可を付与します。 Read
BatchGetDevEndpoints 1 つ以上の開発エンドポイントを取得するアクセス許可を付与します。 Read
BatchGetJobs 1 つ以上のジョブを取得するアクセス許可を付与します。 Read
BatchGetPartition 1 つ以上のパーティションを取得するアクセス許可を付与します。 Read

catalog*

database*

table*

BatchGetTriggers 1 つ以上のトリガーを取得するアクセス許可を付与します。 Read
BatchGetWorkflows 1 つ以上のワークフローを取得するアクセス許可を付与します。 Read
BatchStopJobRun 1 つ以上のジョブ実行を停止するアクセス許可を付与します。 書き込み
CancelMLTaskRun ML タスクの実行を停止するアクセス許可を付与します。 書き込み

mlTransform*

CheckSchemaVersionValidity スキーマバージョンの妥当性をチェックするアクセス許可を付与します Read
CreateClassifier 分類子を作成するアクセス許可を付与します。 書き込み
CreateConnection 接続を作成するアクセス許可を付与します。 書き込み

catalog*

connection*

CreateCrawler クローラを作成するアクセス許可を付与します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDatabase データベースを作成するアクセス許可を付与します。 書き込み

catalog*

database*

CreateDevEndpoint 開発エンドポイントを作成するアクセス許可を付与します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateJob ジョブを作成するアクセス許可を付与します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMLTransform ML 変換を作成するアクセス許可を付与します。 書き込み
CreatePartition パーティションを作成するアクセス許可を付与します。 書き込み

catalog*

database*

table*

CreateRegistry 新しいスキーマレジストリを作成するアクセス許可を付与します 書き込み

registry*

CreateSchema 新しいスキーマコンテナーを作成するアクセス許可を付与します 書き込み

registry*

schema*

CreateScript スクリプトを作成するアクセス許可を付与します。 書き込み
CreateSecurityConfiguration セキュリティ設定を作成するアクセス許可を付与します。 書き込み
CreateTable テーブルを作成するアクセス許可を付与します。 書き込み

catalog*

database*

table*

CreateTrigger トリガーを作成するアクセス許可を付与します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUserDefinedFunction 関数定義を作成するアクセス許可を付与します。 書き込み

catalog*

database*

userdefinedfunction*

CreateWorkflow ワークフローを作成するアクセス許可を付与します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteClassifier 分類子を削除するアクセス許可を付与します。 書き込み
DeleteConnection 接続を削除するアクセス許可を付与します。 書き込み

catalog*

connection*

DeleteCrawler クローラを削除するアクセス許可を付与します。 書き込み
DeleteDatabase データベースを削除するアクセス許可を付与します。 書き込み

catalog*

database*

DeleteDevEndpoint 開発エンドポイントを削除するアクセス許可を付与します。 書き込み
DeleteJob ジョブを削除するアクセス許可を付与します 書き込み
DeleteMLTransform ML 変換を削除するアクセス許可を付与します。 書き込み

mlTransform*

DeletePartition パーティションを削除するアクセス許可を付与します。 書き込み

catalog*

database*

table*

DeleteRegistry スキーマレジストリを削除するアクセス許可を付与します 書き込み

registry*

DeleteResourcePolicy リソースポリシーを削除するアクセス許可を付与します。 アクセス権限の管理

catalog*

DeleteSchema スキーマコンテナを削除するアクセス許可を付与します 書き込み

registry*

schema*

DeleteSchemaVersions スキーマバージョンの範囲を削除するアクセス許可を付与します 書き込み

registry*

schema*

DeleteSecurityConfiguration セキュリティ設定を削除するアクセス許可を付与します。 書き込み
DeleteTable テーブルを削除するアクセス許可を付与します。 書き込み

catalog*

database*

table*

DeleteTableVersion テーブルのバージョンを削除するアクセス許可を付与します。 書き込み

catalog*

database*

table*

tableversion*

DeleteTrigger トリガーを削除するアクセス許可を付与します。 書き込み
DeleteUserDefinedFunction 関数定義を削除するアクセス許可を付与します。 書き込み

catalog*

database*

userdefinedfunction*

DeleteWorkflow ワークフローを削除するアクセス許可を与えます。 書き込み
GetCatalogImportStatus カタログのインポートステータスを取得するアクセス許可を付与します。 Read

catalog*

GetClassifier 分類子を取得するアクセス許可を付与します。 Read
GetClassifiers すべての分類子を一覧表示するアクセス許可を付与します。 Read
GetConnection 接続を取得するアクセス許可を付与します。 Read

catalog*

connection*

GetConnections 接続のリストを取得するアクセス許可を付与します。 Read

catalog*

connection*

GetCrawler クローラを取得するアクセス許可を付与します。 Read
GetCrawlerMetrics クローラに関するメトリクスを取得するアクセス許可を付与します。 Read
GetCrawlers すべてのクローラを取得するアクセス許可を付与します。 Read
GetDataCatalogEncryptionSettings カタログ暗号化設定を取得するアクセス許可を付与します。 Read
GetDatabase データベースを取得するアクセス許可を付与します。 Read

catalog*

database*

GetDatabases すべてのデータベースを取得するアクセス許可を付与します。 Read

catalog*

database*

GetDataflowGraph スクリプトを Directed Acyclic Graph (DAG) に変換するアクセス許可を付与します。 Read
GetDevEndpoint 開発エンドポイントを取得するアクセス許可を付与します。 Read
GetDevEndpoints すべての開発エンドポイントを取得するアクセス許可を付与します。 Read
GetJob ジョブを取得するアクセス許可を付与します。 Read
GetJobBookmark ジョブのブックマークを取得するアクセス許可を付与します。 Read
GetJobRun ジョブ実行を取得するアクセス許可を付与します。 Read
GetJobRuns すべてのジョブ実行を取得するアクセス許可を付与します。 Read
GetJobs 現在のすべてのジョブを取得するアクセス許可を付与します。 Read
GetMLTaskRun ML タスクの実行を取得するアクセス許可を付与します。 Read

mlTransform*

GetMLTaskRuns すべての ML タスクの実行を取得するアクセス許可を付与します。 リスト

mlTransform*

GetMLTransform ML 変換を取得するアクセス許可を付与します。 Read

mlTransform*

GetMLTransforms すべての ML 変換を取得するアクセス許可を付与します。 リスト
GetMapping マッピングを作成するアクセス許可を付与します。 Read
GetPartition パーティションを取得するアクセス許可を付与します。 Read

catalog*

database*

table*

GetPartitions テーブルのパーティションを取得するアクセス許可を付与します。 Read

catalog*

database*

table*

GetPlan スクリプトのマッピングを取得するアクセス許可を付与します。 Read
GetRegistry スキーマレジストリを取得するアクセス許可を付与します Read

registry*

GetResourcePolicies リソースポリシーを取得するアクセス許可を付与します Read

catalog*

GetResourcePolicy リソースポリシーを取得するアクセス許可を付与します。 Read

catalog*

GetSchema スキーマコンテナを取得するアクセス許可を付与します Read

registry*

schema*

GetSchemaByDefinition スキーマ定義に基づいて、スキーマバージョンを取得するアクセス許可を付与します Read

registry*

schema*

GetSchemaVersion スキーマバージョンを取得するアクセス許可を付与します Read

registry

schema

GetSchemaVersionsDiff スキーマレジストリ内の 2 つのスキーマバージョンを比較するアクセス許可を付与します Read

registry*

schema*

GetSecurityConfiguration セキュリティ設定を取得するアクセス許可を付与します。 Read
GetSecurityConfigurations 1 つ以上のセキュリティ設定を取得するアクセス許可を付与します。 Read
GetTable テーブルを取得するアクセス許可を付与します。 Read

catalog*

database*

table*

GetTableVersion テーブルのバージョンを取得するアクセス許可を付与します。 Read

catalog*

database*

table*

tableversion*

GetTableVersions テーブルのバージョンのリストを取得するアクセス許可を付与します。 Read

catalog*

database*

table*

tableversion*

GetTables データベース内のテーブルを取得するアクセス許可を付与します。 Read

catalog*

database*

table*

GetTags リソースに関連付けられているすべてのタグを取得するアクセス許可を付与します。 Read

crawler

devendpoint

job

trigger

workflow

GetTrigger トリガーを取得するアクセス許可を付与します。 Read
GetTriggers ジョブに関連付けられているトリガーを取得するアクセス許可を付与します。 Read
GetUserDefinedFunction 関数定義を取得するアクセス許可を付与します。 Read

catalog*

database*

userdefinedfunction*

GetUserDefinedFunctions 複数の関数定義を取得するアクセス許可を付与します。 Read

catalog*

database*

userdefinedfunction*

GetWorkflow ワークフローを取得するアクセス許可を付与します。 Read
GetWorkflowRun ワークフロー実行を取得するアクセス許可を付与します。 Read
GetWorkflowRunProperties ワークフロー実行プロパティを取得するアクセス許可を付与します。 Read
GetWorkflowRuns すべてのワークフロー実行を取得するアクセス許可を付与します。 Read
ImportCatalogToGlue Athena データカタログを AWS Glue にインポートするアクセス許可を付与します。 書き込み

catalog*

ListCrawlers すべてのクローラを取得するアクセス許可を付与します。 リスト
ListDevEndpoints すべての開発エンドポイントを取得するアクセス許可を付与します。 リスト
ListJobs 現在のすべてのジョブを取得するアクセス許可を付与します。 リスト
ListMLTransforms すべての ML 変換を取得するアクセス許可を付与します。 リスト
ListRegistries スキーマレジストリのリストを取得するアクセス許可を付与します リスト
ListSchemaVersions スキーマバージョンのリストを取得するアクセス許可を付与します リスト

registry*

schema*

ListSchemas スキーマコンテナのリストを取得するアクセス許可を付与します リスト

registry

ListTriggers すべてのトリガーを取得するアクセス許可を付与します。 リスト
ListWorkflows すべてのワークフローを取得するアクセス許可を付与します。 リスト
PutDataCatalogEncryptionSettings カタログ暗号化設定を更新するアクセス許可を付与します。 書き込み
PutResourcePolicy リソースポリシーを更新するアクセス許可を付与します。 アクセス権限の管理

catalog*

PutSchemaVersionMetadata スキーマバージョンにメタデータを追加するアクセス許可を付与します 書き込み

registry

schema

PutWorkflowRunProperties ワークフロー実行プロパティを更新するアクセス許可を付与します。 書き込み
QuerySchemaVersionMetadata スキーマバージョンのメタデータをフェッチするアクセス許可を付与します リスト

registry

schema

RegisterSchemaVersion 新しいスキーマバージョンを作成する許可を付与します 書き込み

registry*

schema*

RemoveSchemaVersionMetadata スキーマバージョンからメタデータを削除するアクセス許可を付与します 書き込み

registry

schema

ResetJobBookmark ジョブのブックマークをリセットする権限を付与します。 書き込み
ResumeWorkflowRun ワークフローの実行を再開するためのアクセス権限を付与します 書き込み
SearchTables カタログ内のテーブルを取得するアクセス許可を付与します。 Read

catalog*

database*

table*

StartCrawler クローラを開始するアクセス許可を付与します。 書き込み
StartCrawlerSchedule クローラのスケジュール状態を SCHEDULED に変更するアクセス許可を付与します。 書き込み
StartExportLabelsTaskRun エクスポートラベル ML タスクの実行を開始するアクセス許可を付与します。 書き込み

mlTransform*

StartImportLabelsTaskRun インポートラベル ML タスクの実行を開始するアクセス許可を付与します。 書き込み

mlTransform*

StartJobRun ジョブの実行を開始するアクセス許可を付与します 書き込み
StartMLEvaluationTaskRun 評価 ML タスクの実行を開始するアクセス許可を付与します。 書き込み

mlTransform*

StartMLLabelingSetGenerationTaskRun ラベリングセット生成 ML タスクの実行を開始するアクセス許可を付与します。 書き込み

mlTransform*

StartTrigger トリガーを開始するアクセス許可を付与します。 書き込み
StartWorkflowRun ワークフローの実行を開始するアクセス許可を付与します。 書き込み
StopCrawler クローラの実行を停止するアクセス許可を付与します。 書き込み
StopCrawlerSchedule クローラのスケジュール状態を NOT_SCHEDULED に設定するアクセス許可を付与します。 書き込み
StopTrigger トリガーを停止するアクセス許可を付与します。 書き込み
StopWorkflowRun ワークフローの実行を停止するためのアクセス権限を付与します 書き込み
TagResource リソースにタグを追加するアクセス許可を付与します タグ付け

crawler

devendpoint

job

trigger

workflow

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource リソースに関連付けられているタグを削除するアクセス許可を付与します タグ付け

crawler

devendpoint

job

trigger

workflow

aws:TagKeys

UpdateClassifier 分類子を更新するアクセス許可を付与します。 書き込み
UpdateConnection 接続を更新するアクセス許可を付与します。 書き込み

catalog*

connection*

UpdateCrawler クローラを更新するアクセス許可を付与します。 書き込み
UpdateCrawlerSchedule クローラのスケジュールを更新するアクセス許可を付与します。 書き込み
UpdateDatabase データベースを更新するアクセス許可を付与します。 書き込み

catalog*

database*

UpdateDevEndpoint 開発エンドポイントを更新するアクセス許可を付与します。 書き込み
UpdateJob ジョブを更新するアクセス許可を付与します。 書き込み
UpdateMLTransform ML 変換を更新するアクセス許可を付与します。 書き込み

mlTransform*

UpdatePartition パーティションを更新するアクセス許可を付与します。 書き込み

catalog*

database*

table*

UpdateRegistry スキーマレジストリを更新する許可を付与します 書き込み

registry*

UpdateSchema スキーマコンテナを更新する許可を付与します 書き込み

registry*

schema*

UpdateTable テーブルを更新するアクセス許可を付与します。 書き込み

catalog*

database*

table*

UpdateTrigger トリガーを更新するアクセス許可を付与します。 書き込み
UpdateUserDefinedFunction 関数定義を更新するアクセス許可を付与します。 書き込み

catalog*

database*

userdefinedfunction*

UpdateWorkflow ワークフローを更新するアクセス許可を付与します。 書き込み
UseMLTransforms Glue ETL スクリプト内から ML 変換を使用するアクセス許可を付与します。 書き込み

mlTransform*

AWS Glue で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
catalog arn:${Partition}:glue:${Region}:${Account}:catalog
database arn:${Partition}:glue:${Region}:${Account}:database/${DatabaseName}
table arn:${Partition}:glue:${Region}:${Account}:table/${DatabaseName}/${TableName}
tableversion arn:${Partition}:glue:${Region}:${Account}:tableVersion/${DatabaseName}/${TableName}/${TableVersionName}
connection arn:${Partition}:glue:${Region}:${Account}:connection/${ConnectionName}
userdefinedfunction arn:${Partition}:glue:${Region}:${Account}:userDefinedFunction/${DatabaseName}/${UserDefinedFunctionName}
devendpoint arn:${Partition}:glue:${Region}:${Account}:devEndpoint/${DevEndpointName}

aws:ResourceTag/${TagKey}

job arn:${Partition}:glue:${Region}:${Account}:job/${JobName}

aws:ResourceTag/${TagKey}

trigger arn:${Partition}:glue:${Region}:${Account}:trigger/${TriggerName}

aws:ResourceTag/${TagKey}

crawler arn:${Partition}:glue:${Region}:${Account}:crawler/${CrawlerName}

aws:ResourceTag/${TagKey}

workflow arn:${Partition}:glue:${Region}:${Account}:workflow/${WorkflowName}

aws:ResourceTag/${TagKey}

mlTransform arn:${Partition}:glue:${Region}:${Account}:mlTransform/${TransformId}

aws:ResourceTag/${TagKey}

registry arn:${Partition}:glue:${Region}:${Account}:registry/${RegistryName}

aws:ResourceTag/${TagKey}

schema arn:${Partition}:glue:${Region}:${Account}:schema/${SchemaName}

aws:ResourceTag/${TagKey}

AWS Glue の条件キー

AWS Glue では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクションをフィルタリングします 文字列