AwsGlueDataBrewDataResourcePolicy - Amazon Glue DataBrew
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

AwsGlueDataBrewDataResourcePolicy

AwsGlueDataBrewDataResourcePolicy 策略授予连接到数据和配置 DataBrew 所需的权限。

下表描述了此策略授予的权限。

操作 资源 描述

"s3:GetObject"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许您预览文件。

"s3:PutObject"

"s3:PutBucketCORS"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许将输出文件发送到 S3。

"s3:DeleteObject"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许删除 DataBrew 创建的对象。

"s3:ListBucket"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许从项目、数据集和作业列出 Amazon S3 存储桶。
"kms:Decrypt"

"arn:aws:kms:::key/key_ids"

允许对加密的数据集进行解密。

"kms:GenerateDataKey"

"arn:aws:kms:::key/key_ids"

允许对作业输出进行加密。

"ec2:DescribeVpcEndpoints"

"ec2:DescribeRouteTables"

"ec2:DeleteNetworkInterface"

"ec2:DescribeNetworkInterfaces"

"ec2:DescribeSecurityGroups"

"ec2:DescribeSubnets"

"ec2:DescribeVpcAttribute"

"ec2:CreateNetworkInterface"

"*"

允许在运行作业和项目时设置 Amazon EC2 网络项,如虚拟私有云(VPC)。

"ec2:DeleteNetworkInterface"

"*" 允许删除 VPC 中的网络接口。

"ec2:CreateTags"

"ec2:DeleteTags"

"arn:aws:ec2:::network-interface/*", "arn:aws:ec2:::security-group/*"

允许创建和删除标签。

如果您使用启用 VPC 的 Amazon Glue Data Catalog,则需要具有这些权限。DataBrew 将数据传递给 Amazon Glue 以运行您的作业和项目。这些权限允许标记为开发端点创建的 Amazon EC2 资源。Amazon Glue 使用 aws-glue-service-resource 标记 Amazon EC2 网络接口、安全组和实例。

"logs:CreateLogGroup"

"logs:CreateLogStream"

"logs:PutLogEvents"

"arn:aws:logs:::log-group:/aws-glue-databrew/*"

允许将日志写入 Amazon CloudWatch Logs。

DataBrew 将日志写入名称以 aws-glue-databrew 开头的日志组。

"lakeformation:GetDataAccess"

"*"

允许访问 Amazon Lake Formation(如果 "Glue":"GetTable" 也允许访问)

使用 Lake Formation 需要在 Lake Formation 控制台中进行进一步配置。