本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有 服務時, AWS 很有可能更新受 AWS 管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 的 受管 (預先定義) 政策 AWS Glue
AWS 提供由 建立和管理的獨立 IAM 政策,以解決許多常見的使用案例 AWS。這些 AWS 受管政策會授予常見使用案例的必要許可,讓您不必調查需要哪些許可。如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
下列 AWS 受管政策可連接到您帳戶中的身分,其專屬於 AWS Glue,並依使用案例分組:
-
AWSGlueConsoleFullAccess
– 當連接政策的身分使用 AWS Management Console時,授予對 AWS Glue 資源的完整存取權。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常會連接至 AWS Glue 主控台的使用者。 -
AWSGlueServiceRole
– 允許存取多個 AWS Glue 程序代表您執行時所需的資源。這些資源包括 AWS Glue、Amazon S3、IAM、CloudWatch Logs 和 Amazon EC2。如果您依照此政策中指定的資源命名慣例,AWS Glue 程序就能擁有必要的許可。此政策通常會連接至定義爬蟲程式、工作和開發端點時所指定的角色。 -
AwsGlueSessionUserRestrictedServiceRole
– 提供所有 AWS Glue 資源的完整存取 (工作階段除外)。其允許使用者建立並僅使用與使用者相關聯的互動式工作階段。此政策包含 AWS Glue管理其他服務中AWS Glue資源所需的其他許可 AWS 。此政策也允許將標籤新增至其他服務中的AWS Glue資源 AWS 。 注意
若要達到完整的安全性優點,請勿將此政策授予已指派
AWSGlueServiceRole、AWSGlueConsoleFullAccess或AWSGlueConsoleSageMakerNotebookFullAccess政策的使用者。 -
AwsGlueSessionUserRestrictedPolicy
– 只有在提供符合受指派者 AWS 使用者 ID 的標籤金鑰「擁有者」和值時,才能使用 CreateSessionAPI 操作提供建立AWS Glue互動式工作階段的存取權。此身分政策連接至叫用CreateSessionAPI 操作的 IAM 使用者。此政策也允許受指派者與使用符合其 AWS 使用者 ID 的「擁有者」標籤和值建立的AWS Glue互動式工作階段資源互動。建立工作階段之後,此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。注意
若要達到完整的安全性優點,請勿將此政策授予已指派
AWSGlueServiceRole、AWSGlueConsoleFullAccess或AWSGlueConsoleSageMakerNotebookFullAccess政策的使用者。 -
AwsGlueSessionUserRestrictedNotebookServiceRole
– 提供足夠的 AWS Glue Studio 筆記本工作階段存取權,以便與特定的 AWS Glue 互動式工作階段資源互動。這些資源是以「擁有者」標籤值建立,符合建立筆記本之委託人 (IAM 使用者或角色) AWS 的使用者 ID。如需這些標籤的詳細資訊,請參閱《IAM 使用者指南》中的主體鍵值圖表。 此服務角色政策會連接至筆記本內使用神奇代碼命令指定的角色,或作為角色傳遞給
CreateSessionAPI 操作。此政策還允許主體從AWS Glue Studio筆記本界面建立AWS Glue互動式工作階段,前提是標籤金鑰「擁有者」和值符合主體 AWS 的使用者 ID。建立工作階段之後,此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。此政策還包括從 Amazon S3 儲存貯體寫入和讀取、寫入 CloudWatch 日誌,以及為 AWS Glue 使用的 Amazon EC2 資源建立和刪除標籤的許可。注意
若要達到完整的安全性優點,請勿將此政策授予已指派
AWSGlueServiceRole、AWSGlueConsoleFullAccess或AWSGlueConsoleSageMakerNotebookFullAccess政策的角色。 -
AwsGlueSessionUserRestrictedNotebookPolicy
– 只有在標籤鍵「擁有者」和值符合建立筆記本之主體 (IAM 使用者或角色) 的 AWS 使用者 ID 時,提供存取權以從 AWS Glue Studio 筆記本介面建立 AWS Glue 互動式工作階段。如需這些標籤的詳細資訊,請參閱《IAM 使用者指南》中的主體鍵值圖表。 此政策會連接至從 AWS Glue Studio 筆記本介面建立工作階段的主體 (IAM 使用者或角色)。此政策還允許足夠的 AWS Glue Studio 筆記本存取權,以便與特定的 AWS Glue 互動式工作階段資源互動。這些是使用與委託 AWS 人的使用者 ID 相符的「擁有者」標籤值建立的資源。建立工作階段之後,此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。
-
AWSGlueServiceNotebookRole
– 授予在 AWS Glue Studio 筆記本中啟動之 AWS Glue 工作階段的存取權。此政策允許列出和取得所有工作階段的工作階段資訊,但只允許使用者建立和使用標記其 AWS 使用者 ID 的工作階段。此政策拒絕變更或移除帶有 AWS ID 標記之AWS Glue工作階段資源的「擁有者」標籤的許可。 將此政策指派給在 中使用筆記本界面建立任務 AWS 的使用者AWS Glue Studio。
-
AWSGlueConsoleSageMakerNotebookFullAccess
– 當政策連接至 的身分使用 時,授予 AWS Glue 和 SageMaker AI 資源的完整存取權 AWS Management Console。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常連接到管理 SageMaker AI 筆記本的AWS Glue主控台使用者。 -
AWSGlueSchemaRegistryFullAccess
– 當政策連接至 的身分使用 AWS Management Console 或 時,授予對AWS Glue結構描述登錄檔資源的完整存取權 AWS CLI。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常連接到AWS Glue主控台的使用者或管理AWS Glue結構描述登錄檔 AWS CLI 的使用者。 -
AWSGlueSchemaRegistryReadonlyAccess
– 當附加政策的身分使用 AWS Management Console 或 時,授予對AWS Glue結構描述登錄檔資源的唯讀存取權 AWS CLI。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常連接到AWS Glue主控台的使用者或使用AWS Glue結構描述登錄檔 AWS CLI 的使用者。
注意
您可以登入 IAM 主控台並在該處搜尋特定政策,來檢閱這些許可政策。
您也可以建立自己的自訂 IAM 政策,以允許 AWS Glue 動作與資源的許可。您可以將這些自訂政策連接至需要這些許可的 IAM 使用者或群組。
AWSAWS 受管政策的 Glue 更新
檢視自此服務開始追蹤這些變更以來,Glue AWS AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 Glue 文件歷史記錄頁面上的 RSS AWS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
| AwsGlueSessionUserRestrictedNotebookPolicy:現有政策的次要更新。 | 新增允許對擁有者標籤金鑰執行glue:TagResource動作。支援具有擁有者tag-on-create之工作階段的建立時標籤所需。 |
2024 年 8 月 30 日 |
| AwsGlueSessionUserRestrictedNotebookServiceRole – 對現有政策的次要更新。 | 新增允許對擁有者標籤金鑰執行glue:TagResource動作。支援具有擁有者tag-on-create之工作階段的建立時標籤所需。 |
2024 年 8 月 30 日 |
| AwsGlueSessionUserRestrictedPolicy – 對現有政策的次要更新。 | 新增允許對擁有者標籤金鑰執行glue:TagResource動作。支援具有擁有者tag-on-create之工作階段的建立時標籤所需。 |
2024 年 8 月 5 日 |
| AwsGlueSessionUserRestrictedServiceRole – 對現有政策的次要更新。 | 新增允許對擁有者標籤金鑰執行glue:TagResource動作。支援具有擁有者tag-on-create之工作階段的建立時標籤所需。 |
2024 年 8 月 5 日 |
| AwsGlueSessionUserRestrictedPolicy – 對現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。在 Glue 中整合 Amazon Q AWS 資料時為必要。 |
2024 年 4 月 30 日 |
| AwsGlueSessionUserRestrictedNotebookServiceRole – 對現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。在 Glue 中整合 Amazon Q AWS 資料時為必要。 |
2024 年 4 月 30 日 |
| AwsGlueSessionUserRestrictedServiceRole – 對現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。在 Glue 中整合 Amazon Q AWS 資料時為必要。 |
2024 年 4 月 30 日 |
| AWSGlueServiceNotebookRole – 現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。在 Glue 中整合 Amazon Q AWS 資料時為必要。 |
2024 年 1 月 30 日 |
| AwsGlueSessionUserRestrictedNotebookPolicy:現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。在 Glue 中整合 Amazon Q AWS 資料時為必要。 |
2023 年 11 月 29 日 |
| AWSGlueServiceNotebookRole – 現有政策的次要更新。 | 將 codewhisperer:GenerateRecommendations 新增至政策。對於 Glue AWS 產生 CodeWhisperer 建議的新功能而言為必要。 |
2023 年 10 月 9 日 |
|
AWSGlueServiceRole:現有政策的次要更新。 |
限制 CloudWatch 許可的範圍,以更好地反映 Glue AWS 記錄。 | 2023 年 8 月 4 日 |
|
AWSGlueConsoleFullAccess:現有政策的次要更新。 |
將 databrew 配方清單和描述許可新增至政策。為 Glue AWS 可以存取配方的新功能提供完整的管理存取權時需要。 |
2023 年 5 月 9 日 |
|
AWSGlueConsoleFullAccess:現有政策的次要更新。 |
將 cloudformation:ListStacks 新增至政策。在變更 AWS CloudFormation 授權要求後保留現有功能。 |
2023 年 3 月 28 日 |
|
為互動式工作階段功能新增新的受管政策︰
|
這些政策的設計目的是為 AWS Glue Studio 中的互動式工作階段和筆記本提供更多的安全性。這些政策限制對 |
2021 年 11 月 30 日 |
|
AWSGlueConsoleSageMakerNotebookFullAccess - 更新現有政策。 |
針對 AWS Glue 用於存放指令碼和臨時檔案的 Amazon S3 儲存貯體上授予讀取/寫入許可的動作,移除了冗餘資源 ARN ( 修正語法問題,方法是將 |
2021 年 7 月 15 日 |
|
AWSGlueConsoleFullAccess - 更新現有政策。 |
針對 arn:aws:s3:::aws-glue-*/* 用於存放指令碼和臨時檔案的 Amazon S3 儲存貯體上授予讀取/寫入許可的動作,移除了冗餘資源 ARN (AWS Glue)。 |
2021 年 7 月 15 日 |
|
AWS Glue 已開始追蹤變更。 |
AWS Glue 已開始追蹤其 AWS 受管政策的變更。 | 2021 年 6 月 10 日 |
