AWS Glue에 대한 AWS 관리형 정책 - AWS Glue
AWS Glue에 대한 AWS 관리형(미리 정의된) 정책정책 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Glue에 대한 AWS 관리형 정책

AWS 관리형 정책은 AWS에서 생성되고 관리되는 독립형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. AWS에서 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 엔터티(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새로운 AWS 서비스를 시작하거나 새로운 API 작업을 기존 서비스에 이용하는 경우 AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하십시오.

AWS Glue에 대한 AWS 관리형(미리 정의된) 정책

AWS는 AWS에서 생성하고 관리하는 독립형 IAM 정책을 제공하여 많은 일반 사용 사례를 처리합니다. 이러한 AWS 관리형 정책은 사용자가 필요한 권한을 조사할 필요가 없도록 일반 사용 사례에 필요한 권한을 부여합니다. 자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하십시오.

계정의 자격 증명에 연결할 수 있는 다음 AWS 관리형 정책은 AWS Glue에 고유하며, 사용 사례 시나리오를 기준으로 그룹화되어 있습니다.

  • AWSGlueConsoleFullAccess— 정책이 연결된 ID가 를 사용하는 경우 AWS Glue 리소스에 대한 전체 액세스 권한을 AWS Management Console 부여합니다. 이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 보통 AWS Glue 콘솔의 사용자에게 해당됩니다.

  • AWSGlueServiceRole— 다양한 AWS Glue 프로세스를 사용자 대신 실행하는 데 필요한 리소스에 대한 액세스 권한을 부여합니다. 이러한 리소스에는 Amazon S3, IAM, CloudWatch 로그 및 Amazon EC2가 포함됩니다AWS Glue. 이 정책에 지정된 리소스의 이름 변환을 따르고자 한다면 AWS Glue 절차는 필요한 권한을 소유합니다. 이 정책은 크롤러, 작업 및 개발 엔드포인트를 정의할 때 지정된 역할에 일반적으로 추가됩니다.

  • AwsGlueSessionUserRestrictedServiceRole— 세션을 제외한 모든 AWS Glue 리소스에 대한 전체 액세스 권한을 제공합니다. 사용자와 연결된 대화형 세션만 사용자가 생성하고 사용할 수 있도록 허용합니다. 이 정책에는 다른 AWS 서비스에서 AWS Glue 리소스를 관리하는 데 AWS Glue에서 필요한 기타 권한이 포함됩니다. 또한 이 정책은 다른 AWS 서비스의 AWS Glue 리소스에 태그를 추가할 수 있도록 허용합니다.

    참고

    전체 보안 이점을 얻으려면 AWSGlueServiceRole, AWSGlueConsoleFullAccess 또는 AWSGlueConsoleSageMakerNotebookFullAccess 정책이 할당된 사용자에게 이 정책을 부여하지 않습니다.

  • AwsGlueSessionUserRestrictedPolicy— 담당자의 AWS 사용자 ID와 일치하는 태그 키 “소유자”와 값이 제공된 경우에만 CreateSession API 작업을 사용하여 AWS Glue 대화형 세션을 생성할 수 있는 액세스 권한을 제공합니다. 이 자격 증명 정책은 CreateSession API 작업을 호출하는 IAM 사용자에게 연결됩니다. 또한 이 정책은 'owner' 태그 및 AWS 사용자 ID와 일치하는 값으로 생성된 AWS Glue 대화형 세션 리소스를 담당자가 조작할 수 있도록 허용합니다. 이 정책은 세션이 생성된 후 AWS Glue 세션 리소스에서 'owner' 태그를 변경하거나 제거할 수 있는 권한을 거부합니다.

    참고

    전체 보안 이점을 얻으려면 AWSGlueServiceRole, AWSGlueConsoleFullAccess 또는 AWSGlueConsoleSageMakerNotebookFullAccess 정책이 할당된 사용자에게 이 정책을 부여하지 않습니다.

  • AwsGlueSessionUserRestrictedNotebookService역할 — 특정 AWS Glue 대화형 세션 리소스와 상호 작용할 수 있도록 AWS Glue Studio 노트북 세션에 대한 충분한 액세스 권한을 제공합니다. 노트북을 생성하는 보안 주체(IAM 사용자 또는 역할)의 AWS 사용자 ID와 일치하는 'owner' 태그 값으로 생성된 리소스입니다. 이러한 태그에 대한 자세한 내용은 IAM 사용 설명서보안 주체 키 값 차트를 참조하세요.

    이 서비스-역할 정책은 노트북 내에서 매직 명령문으로 지정되었거나 CreateSession API 작업에 역할로 전달된 역할에 연결됩니다. 또한 이 정책은 태그 키 'owner' 및 보안 주체의 AWS 사용자 ID와 일치하는 값이 제공된 경우에만 보안 주체가 AWS Glue Studio 노트북 인터페이스에서 AWS Glue 대화형 세션을 생성할 수 있도록 허용합니다. 이 정책은 세션이 생성된 후 AWS Glue 세션 리소스에서 'owner' 태그를 변경하거나 제거할 수 있는 권한을 거부합니다. 이 정책에는 Amazon S3 버킷 쓰기 및 읽기, CloudWatch 로그 작성, 에서 사용하는 Amazon EC2 리소스의 태그 생성 및 삭제에 대한 권한도 포함됩니다. AWS Glue

    참고

    전체 보안 이점을 얻으려면 AWSGlueServiceRole, AWSGlueConsoleFullAccess 또는 AWSGlueConsoleSageMakerNotebookFullAccess 정책이 할당된 역할에 이 정책을 부여하지 않습니다.

  • AwsGlueSessionUserRestrictedNotebookPolicy— 노트북을 생성한 주체 (IAM 사용자 또는 역할) 의 AWS 사용자 ID와 일치하는 태그 키 “소유자”와 값이 있는 경우에만 AWS Glue Studio 노트북 인터페이스에서 AWS Glue 대화형 세션을 생성할 수 있는 액세스 권한을 제공합니다. 이러한 태그에 대한 자세한 내용은 IAM 사용 설명서보안 주체 키 값 차트를 참조하세요.

    이 정책은 AWS Glue Studio 노트북 인터페이스에서 세션을 생성하는 보안 주체(IAM 사용자 또는 역할)에 연결됩니다. 또한 이 정책은 AWS Glue Studio 노트북에 충분히 액세스하여 특정 AWS Glue 대화형 세션 리소스와 상호 작용할 수 있도록 허용합니다. 이러한 리소스는 보안 주체의 AWS 사용자 ID와 일치하는 'owner' 태그 값으로 생성됩니다. 이 정책은 세션이 생성된 후 AWS Glue 세션 리소스에서 'owner' 태그를 변경하거나 제거할 수 있는 권한을 거부합니다.

  • AWSGlueServiceNotebookRole— 노트북에서 시작된 AWS Glue 세션에 대한 액세스 권한을 부여합니다. AWS Glue Studio 이 정책은 모든 세션에 대한 세션 정보를 나열하고 가져올 수 있도록 허용하지만 사용자가 AWS 사용자 ID로 태깅된 세션을 생성하고 사용할 수 있도록만 허용합니다. 이 정책은 AWS ID로 태깅된 AWS Glue 세션 리소스에서 'owner' 태그를 변경하거나 제거할 수 있는 권한을 거부합니다.

    AWS Glue Studio에서 노트북 인터페이스를 사용하여 작업을 생성하는 AWS 사용자에게 이 정책을 할당합니다.

  • AWSGlueConsoleSageMakerNotebookFullAccess— 정책이 연결된 ID가 를 사용하는 경우 AWS Glue 및 SageMaker 리소스에 대한 전체 액세스 권한을 AWS Management Console 부여합니다. 이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 일반적으로 SageMaker 노트북을 관리하는 AWS Glue 콘솔 사용자에게 적용됩니다.

  • AWSGlueSchemaRegistryFullAccess— 정책이 연결된 ID가 AWS Glue OR를 사용하는 경우 스키마 레지스트리 리소스에 대한 전체 액세스 권한을 부여합니다AWS Management Console. AWS CLI 이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 일반적으로 AWS Glue Schema Registry를 관리하는 AWS Glue 콘솔 또는 AWS CLI의 사용자에게 연결됩니다.

  • AWSGlueSchemaRegistryReadonlyAccess— 정책이 연결된 ID가 OR를 사용하는 경우 AWS Glue 스키마 레지스트리 리소스에 대한 읽기 전용 액세스 권한을 부여합니다AWS Management Console. AWS CLI 이 정책에 지정된 리소스의 이름 변환을 따르면 사용자는 콘솔 전체 용량을 소유합니다. 이 정책은 일반적으로 AWS Glue Schema Registry를 사용하는 AWS Glue 콘솔 또는 AWS CLI의 사용자에게 연결됩니다.

참고

IAM 콘솔에 로그인하고 이 콘솔에서 특정 정책을 검색하여 이러한 권한 정책을 검토할 수 있습니다.

AWS Glue 작업 및 리소스에 대한 권한을 허용하는 고유의 사용자 정의 IAM 정책을 생성할 수도 있습니다. 해당 권한이 필요한 IAM 사용자 또는 그룹에 이러한 사용자 지정 정책을 연결할 수 있습니다.

AWS 관리형 정책에 대한 AWS Glue 업데이트

이 서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 AWS Glue의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS Glue 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜
AWSGlueServiceNotebookRole — 기존 정책에 대한 사소한 업데이트. glue:StartCompletionglue:GetCompletion을 정책에 추가합니다. AWSGlue에서 Amazon Q 데이터를 통합하는 데 필요합니다. TBD
AwsGlueSessionUserRestrictedNotebookPolicy — 기존 정책에 대한 사소한 업데이트. glue:StartCompletionglue:GetCompletion을 정책에 추가합니다. AWSGlue에서 Amazon Q 데이터를 통합하는 데 필요합니다. 2023년 11월 29일
AWSGlueServiceNotebookRole — 기존 정책에 대한 사소한 업데이트. codewhisperer:GenerateRecommendations를 정책에 추가합니다. AWSGlue가 CodeWhisperer 추천을 생성하는 새 기능에 필요합니다. 2023년 10월 9일

AWSGlueServiceRole — 기존 정책에 대한 사소한 업데이트.

 AWSGlue 로깅을 더 잘 반영하도록 CloudWatch 권한 범위를 좁히십시오. 2023년 8월 4일

AWSGlueConsoleFullAccess — 기존 정책에 대한 사소한 업데이트.

 databrew 레시피 나열 및 설명 권한을 정책에 추가합니다. AWS Glue에서 레시피에 액세스할 수 있는 경우 새 기능에 대한 전체 관리 액세스 권한을 제공하는 데 필요합니다. 2023년 5월 9일

AWSGlueConsoleFullAccess — 기존 정책에 대한 사소한 업데이트.

 cloudformation:ListStacks를 정책에 추가합니다. AWS CloudFormation 인증 요구 사항이 변경된 후에도 기존 기능을 유지합니다. 2023년 3월 28일

대화형 세션 기능에 대해 추가된 새로운 관리형 정책:

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookService역할

  • AwsGlueSessionUserRestrictedNotebookPolicy

이러한 정책은 AWS Glue Studio에서 대화형 세션과 노트북에 대한 추가 보안을 제공하도록 설계되었습니다. 소유자만 액세스할 수 있도록 정책에서 CreateSession API 작업에 대한 액세스를 제한합니다.

 2021년 11월 30일

AWSGlueConsoleSageMakerNotebookFullAccess — 기존 정책으로 업데이트.

AWS Glue가 스크립트 및 임시 파일을 저장하는 데 사용하는 Amazon S3 버킷에 대한 읽기/쓰기 권한을 부여하는 작업에 대한 중복 리소스 ARN(arn:aws:s3:::aws-glue-*/*)을 제거했습니다.

"StringEquals""ForAnyValue:StringLike"로 변경하여 구문 문제를 수정하고, 순서가 어긋난 각 위치에서 "Effect": "Allow" 줄을 "Action": 줄 앞으로 이동했습니다.

 2021년 7월 15일

AWSGlueConsoleFullAccess — 기존 정책 업데이트.

 arn:aws:s3:::aws-glue-*/*가 스크립트 및 임시 파일을 저장하는 데 사용하는 Amazon S3 버킷에 대한 읽기/쓰기 권한을 부여하는 작업에 대한 중복 리소스 ARN(AWS Glue)을 제거했습니다. 2021년 7월 15일

AWS Glue에서 변경 사항 추적 시작

 AWS Glue이(가) AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. 2021년 6월 10일