AwsGlueDataBrewDataResourcePolicy - Amazon Glue DataBrew
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AwsGlueDataBrewDataResourcePolicy

这个AwsGlueDataBrewDataResourcePolicy策略授予连接数据和配置所需的权限DataBrew。

下表描述了此策略授予的权限。

Action 资源 描述

"s3:GetObject"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许您预览文件。

"s3:PutObject"

"s3:PutBucketCORS"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许将输出文件发送到 S3。

"s3:DeleteObject"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许删除由创建的对象DataBrew。

"s3:ListBucket"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许列出项目、数据集和任务中的 Amazon S3 存储桶。
"kms:Decrypt"

"arn:aws:kms:::key/key_ids"

允许对加密数据集进行解密。

"kms:GenerateDataKey"

"arn:aws:kms:::key/key_ids"

允许对作业输出进行加密。

"ec2:DescribeVpcEndpoints"

"ec2:DescribeRouteTables"

"ec2:DeleteNetworkInterface"

"ec2:DescribeNetworkInterfaces"

"ec2:DescribeSecurityGroups"

"ec2:DescribeSubnets"

"ec2:DescribeVpcAttribute"

"ec2:CreateNetworkInterface"

"*"

允许在运行任务和项目时设置 Amazon EC2 网络项目,例如虚拟私有云 (VPC)。

"ec2:DeleteNetworkInterface"

"*" 允许删除 VPC 中的网络接口。

"ec2:CreateTags"

"ec2:DeleteTags"

"arn:aws:ec2:::network-interface/*", "arn:aws:ec2:::security-group/*"

允许创建和删除标签。

如果您使用,则需要这些权限Amazon Glue启用 VPC 的数据目录。DataBrew将数据传递给Amazon Glue来运行你的工作和项目。这些权限允许标记为开发终端节点创建的 Amazon EC2 资源。Amazon Glue将 Amazon EC2 网络接口、安全组和实例标记为aws-glue-service-resource

"logs:CreateLogGroup"

"logs:CreateLogStream"

"logs:PutLogEvents"

"arn:aws:logs:::log-group:/aws-glue-databrew/*"

允许向亚马逊写入日志CloudWatch日志

DataBrew将日志写入名称以开头的日志组aws-glue-databrew

"lakeformation:GetDataAccess"

"*"

允许访问Amazon Lake Formation,前提是"Glue":"GetTable"也被允许

使用湖泊形成需要在 Lake Formation 控制台中进行进一步配置。