檢閱使用者所需的IAMAWS Glue Studio權限 - AWS Glue

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢閱使用者所需的IAMAWS Glue Studio權限

要使用AWS Glue Studio,用戶必須具有對各種 AWS 資源的訪問權限。使用者必須能夠檢視和選取 Amazon S3 儲存貯體、IAM政策和角色以及AWS Glue Data Catalog物件。

AWS Glue 服務許可

AWS Glue Studio 使用 AWS Glue 服務的動作和資源。您的使用者需要這些動作和資源的許可,才能有效地使用 AWS Glue Studio。您可以授予 AWS Glue Studio 使用者 AWSGlueConsoleFullAccess 受管政策,或使用較小的許可集建立自訂政策。

重要

根據安全性最佳實務,建議透過收緊政策來限制存取,進一步限制對 Amazon S3 儲存貯體和 Amazon CloudWatch 日誌群組的存取。如需 Amazon S3 政策範例,請參閱撰寫政IAM策:如何授予對 Amazon S3 儲存貯體的存取權限。

建立自訂IAM原則 AWS Glue Studio

您可以為 AWS Glue Studio 建立具有較小許可集的自訂政策。政策可以針對物件或動作的子集授予許可。建立自訂政策時,請使用下列資訊。

若要使用 AWS Glue StudioAPIs,請在您的IAM權限glue:UseGlueStudio中包含在動作原則中。使用glue:UseGlueStudio將允許您訪問所有AWS Glue Studio操作,即使API隨著時間的推移將更多操作添加到。

資料準備撰寫動作

  • SendRecipeAction

  • GetRecipeAction

有向無環圖()DAG動作

  • CreateDag

  • UpdateDag

  • GetDag

  • DeleteDag

任務動作

  • SaveJob

  • GetJob

  • CreateJob

  • DeleteJob

  • GetJobs

  • UpdateJob

任務執行動作

  • StartJobRun

  • GetJobRuns

  • BatchStopJobRun

  • GetJobRun

  • QueryJobRuns

  • QueryJobs

  • QueryJobRunsAggregated

結構描述動作

  • GetSchema

  • GetInferredSchema

資料庫動作

  • GetDatabases

計畫動作

  • GetPlan

資料表動作

  • SearchTables

  • GetTables

  • GetTable

連線動作

  • CreateConnection

  • DeleteConnection

  • UpdateConnection

  • GetConnections

  • GetConnection

映射動作

  • GetMapping

S3 代理動作

  • ListBuckets

  • ListObjectsV2

  • GetBucketLocation

安全組態動作

  • GetSecurityConfigurations

指令碼動作

  • CreateScript (與同API名不同AWS Glue)

存取 AWS Glue Studio APIs

若要存取AWS Glue Studio,請glue:UseGlueStudio在IAM權限的動作原則清單中新增。

在以下範例中glue:UseGlueStudio,包含在動作原則中,但不AWS Glue StudioAPIs會個別識別。這是因為當您包含時glue:UseGlueStudio,系統會自動授予您對內部的訪問權限,APIs而無需在IAM權限AWS Glue StudioAPIs中指定個人。

在此範例中,其他列出的動作原則 (例如,glue:SearchTables) 並非 AWS Glue StudioAPIs,因此必須視需要將它們包含在IAM權限中。您可能還希望納入 Amazon S3 代理動作,以指定要授予的 Amazon S3 存取等級。如果選取的IAM角色具有足夠的存取權AWS Glue Studio,則下列範例原則提供開啟、建立視覺化工作以及儲存/執行它的存取權。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "glue:UseGlueStudio", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "glue:SearchTables", "glue:GetConnections", "glue:GetJobs", "glue:GetTables", "glue:BatchStopJobRun", "glue:GetSecurityConfigurations", "glue:DeleteJob", "glue:GetDatabases", "glue:CreateConnection", "glue:GetSchema", "glue:GetTable", "glue:GetMapping", "glue:CreateJob", "glue:DeleteConnection", "glue:CreateScript", "glue:UpdateConnection", "glue:GetConnection", "glue:StartJobRun", "glue:GetJobRun", "glue:UpdateJob", "glue:GetPlan", "glue:GetJobRuns", "glue:GetTags", "glue:GetJob", "glue:QueryJobRuns", "glue:QueryJobs", "glue:QueryJobRunsAggregated", "glue:SendRecipeAction", "glue:GetRecipeAction" ], "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] }

筆記本和資料預覽許可

資料預覽和筆記本可讓您在任務的任何階段 (讀取、轉換、寫入) 檢視資料範例,而無需實際執行任務。您可以指定存取資料時AWS Glue Studio要使用的 AWS Identity and Access Management (IAM) 角色。IAM角色的目的是可設定的,而且沒有標準的長期認證,例如密碼或與其相關聯的存取金鑰。相反地,當AWS Glue Studio擔任該角色時,會IAM提供暫時的安全性登入資料。

若要確保資料預覽和記事本命令正常運作,請使用名稱以 AWSGlueServiceRole 字串開頭的角色。如果您選擇為角色使用不同的名稱,則必須新增iam:passrole權限並為中的角色設定原則IAM。如需詳細資訊,請參閱為未命名為 "AWSGlueServiceRole*" 的角色建立 IAM 政策

警告

如果角色為基本授予 iam:passrole 許可,並且您實作角色鏈結,則使用者可能會無意中取得筆記本的存取權。目前沒有已實作的稽核,稽核可讓您監控哪些使用者已被授予筆記本的存取權。

如果您想拒絕某個IAM識別建立資料預覽工作階段的能力,請參閱下列範例拒絕給予身分建立資料預覽工作階段的能力

Amazon CloudWatch 許可

您可以使用 Amazon CloudWatch將原始資料收集並處理AWS Glue成可讀的 near-real-time 指標來監視AWS Glue Studio工作。根據預設,AWS Glue指標資料會 CloudWatch 自動傳送至。有關更多信息,請參閱什麼是 Amazon CloudWatch?Amazon CloudWatch 使用者指南中,以及AWS Glue 開發人員指南中的指AWS Glue

若要存取 CloudWatch 儀表板,存取的使用者AWS Glue Studio需要下列其中一項:

  • AdministratorAccess 政策

  • CloudWatchFullAccess 政策

  • 自訂政策,其中包含一或多個特定許可:

    • cloudwatch:GetDashboardcloudwatch:ListDashboards 以檢視儀表板

    • cloudwatch:PutDashboard 以建立或修改儀表板

    • cloudwatch:DeleteDashboards 以刪除儀表板

如需有關使用策略變更使用IAM者權限的詳細資訊,請參閱《使用指南》中的〈變更使用IAM者的權限。IAM