本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢閱 AWS Glue Studio 使用者所需的 IAM 許可
若要使用 AWS Glue Studio,使用者必須能夠存取各種 AWS 資源。使用者必須能夠檢視和選取 Amazon S3 儲存貯體、IAM 政策和角色,以及 AWS Glue Data Catalog 物件。
AWS Glue 服務許可
AWS Glue Studio 使用 AWS Glue 服務的動作和資源。您的使用者需要這些動作和資源的許可,才能有效地使用 AWS Glue Studio。您可以授予 AWS Glue Studio 使用者 AWSGlueConsoleFullAccess 受管政策,或使用較小的許可集建立自訂政策。
重要
根據安全性最佳實務,建議透過收緊政策來限制存取,進一步限制對 Amazon S3 儲存貯體和 Amazon CloudWatch 日誌群組的存取。如需範例 Amazon S3 政策,請參閱編寫 IAM 政策:如何授予 Amazon S3 儲存貯體的存取
為 AWS Glue Studio 建立自訂 IAM 政策
您可以為 AWS Glue Studio 建立具有較小許可集的自訂政策。政策可以針對物件或動作的子集授予許可。建立自訂政策時,請使用下列資訊。
若要使用 AWS Glue Studio API,請在您 IAM 許可的動作政策中納入 glue:UseGlueStudio。使用 glue:UseGlueStudio 將讓您能存取所有 AWS Glue Studio 動作,即使隨著時間的推移會有更多動作新增到 API 中也能存取。
如需 定義的動作的詳細資訊 AWS Glue,請參閱 定義的動作 AWS Glue。
資料準備撰寫動作
-
SendRecipeAction
-
GetRecipeAction
有向無環圖 (DAG) 動作
-
CreateDag
-
UpdateDag
-
GetDag
-
DeleteDag
任務動作
-
SaveJob
-
GetJob
-
CreateJob
-
DeleteJob
-
GetJobs
-
UpdateJob
任務執行動作
-
StartJobRun
-
GetJobRuns
-
BatchStopJobRun
-
GetJobRun
-
QueryJobRuns
-
QueryJobs
-
QueryJobRunsAggregated
結構描述動作
-
GetSchema
-
GetInferredSchema
資料庫動作
-
GetDatabases
計畫動作
-
GetPlan
資料表動作
-
SearchTables
-
GetTables
-
GetTable
連線動作
-
CreateConnection
-
DeleteConnection
UpdateConnection
-
GetConnections
-
GetConnection
映射動作
-
GetMapping
S3 代理動作
-
ListBuckets
-
ListObjectsV2
-
GetBucketLocation
安全組態動作
-
GetSecurityConfigurations
指令碼動作
-
CreateScript (不同於 AWS Glue 中同名的 API)
存取 AWS Glue Studio API
若要存取 AWS Glue Studio,將 glue:UseGlueStudio 新增到 IAM 許可的動作政策中。
在以下範例中,將 glue:UseGlueStudio 納入動作政策中,但未單獨識別 AWS Glue Studio API。這是因為當您納入 glue:UseGlueStudio 時,會自動授予您對內部 API 的存取權,而無需在 IAM 許可中指定個別 AWS Glue Studio API。
在範例中,列出的其他動作政策 (例如 glue:SearchTables) 不是 AWS Glue Studio API,因此要視需要將其納入 IAM 許可中。您可能還希望納入 Amazon S3 代理動作,以指定要授予的 Amazon S3 存取等級。以下範例政策提供存取權,能打開 AWS Glue Studio、建立視覺任務,並在選定的 IAM 角色具有足夠的存取權時儲存/執行該任務。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "glue:UseGlueStudio", "iam:ListRoles", "iam:ListUsers", "iam:ListGroups", "iam:ListRolePolicies", "iam:GetRole", "iam:GetRolePolicy", "glue:SearchTables", "glue:GetConnections", "glue:GetJobs", "glue:GetTables", "glue:BatchStopJobRun", "glue:GetSecurityConfigurations", "glue:DeleteJob", "glue:GetDatabases", "glue:CreateConnection", "glue:GetSchema", "glue:GetTable", "glue:GetMapping", "glue:CreateJob", "glue:DeleteConnection", "glue:CreateScript", "glue:UpdateConnection", "glue:GetConnection", "glue:StartJobRun", "glue:GetJobRun", "glue:UpdateJob", "glue:GetPlan", "glue:GetJobRuns", "glue:GetTags", "glue:GetJob", "glue:QueryJobRuns", "glue:QueryJobs", "glue:QueryJobRunsAggregated", "glue:SendRecipeAction", "glue:GetRecipeAction" ], "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] }
筆記本和資料預覽許可
資料預覽和筆記本可讓您在任務的任何階段 (讀取、轉換、寫入) 檢視資料範例,而無需實際執行任務。您可以為 指定 AWS Identity and Access Management (IAM) 角色AWS Glue Studio,以便在存取資料時使用。IAM 角色應可擔任,並且沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當 AWS Glue Studio 擔任角色時,IAM 會為其提供臨時安全性憑證。
若要確保資料預覽和記事本命令正常運作,請使用名稱以 AWSGlueServiceRole 字串開頭的角色。如果您選擇使用不同角色名稱,則必須新增 iam:passrole 許可,並設定 IAM 中角色的政策。如需詳細資訊,請參閱 為未命名為 "AWSGlueServiceRole*" 的角色建立 IAM 政策。
警告
如果角色為基本授予 iam:passrole 許可,並且您實作角色鏈結,則使用者可能會無意中取得筆記本的存取權。目前沒有已實作的稽核,稽核可讓您監控哪些使用者已被授予筆記本的存取權。
如果您想拒絕給予 IAM 身分建立資料預覽工作階段的能力,請參閱下列範例 拒絕給予身分建立資料預覽工作階段的能力。
Amazon CloudWatch 許可
您可以使用 監控您的AWS Glue Studio任務 Amazon CloudWatch,該任務會收集原始資料,並將其處理AWS Glue為可讀且near-real-time的指標。依預設,系統會自動將 AWS Glue 指標資料傳送至 CloudWatch。如需詳細資訊,請參閱 Amazon CloudWatch 使用者指南中的什麼是 Amazon CloudWatch?,以及AWS Glue 開發人員指南中的 AWS Glue 指標。
若要存取 CloudWatch 儀表板,存取 AWS Glue Studio 的使用者需要以下其中一個項目:
-
AdministratorAccess政策 -
CloudWatchFullAccess政策 -
自訂政策,其中包含一或多個特定許可:
-
cloudwatch:GetDashboard和cloudwatch:ListDashboards以檢視儀表板 -
cloudwatch:PutDashboard以建立或修改儀表板 -
cloudwatch:DeleteDashboards以刪除儀表板
-
如需使用政策變更 IAM 使用者許可的詳細資訊,請參閱 IAM 使用者指南中的變更 IAM 使用者的許可。
