本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AwsGlueDataBrewDataResourcePolicy
该`AwsGlueDataBrewDataResourcePolicy`策略授予连接数据和进行配置所需的权限 DataBrew。
下表描述了此策略授予的权限。
| **Action** | **资源** | **描述** |
| --- | --- | --- |
| `"s3:GetObject"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许您预览文件。 |
| `"s3:PutObject"`
`"s3:PutBucketCORS"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许将输出文件发送到 S3。 |
| `"s3:DeleteObject"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许删除由创建的对象 DataBrew。 |
| `"s3:ListBucket"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许从项目、数据集和作业列出 Amazon S3 存储桶。 |
| "kms:Decrypt" | `"arn:aws:kms:::key/key_ids"` | 允许对加密的数据集进行解密。 |
| `"kms:GenerateDataKey"` | `"arn:aws:kms:::key/key_ids"` | 允许对作业输出进行加密。 |
| `"ec2:DescribeVpcEndpoints"`
`"ec2:DescribeRouteTables"`
`"ec2:DeleteNetworkInterface"`
`"ec2:DescribeNetworkInterfaces"`
`"ec2:DescribeSecurityGroups"`
`"ec2:DescribeSubnets"`
`"ec2:DescribeVpcAttribute"`
`"ec2:CreateNetworkInterface"` | `"*"` | 允许在运行作业和项目时设置 Amazon EC2 网络项目,例如虚拟私有云 (VPCs)。 |
| `"ec2:DeleteNetworkInterface"` | "\*" | 允许删除 VPC 中的网络接口。 |
| `"ec2:CreateTags"`
`"ec2:DeleteTags"` | `"arn:aws:ec2:::network-interface/*", "arn:aws:ec2:::security-group/*"` | 允许创建和删除标签。
如果您使用启用了 VPC Amazon Glue 的数据目录,则需要这些权限。 DataBrew 将数据传递 Amazon Glue 给以运行您的作业和项目。这些权限允许标记为开发终端节点创建的 Amazon EC2 资源。 Amazon Glue 使用标记 Amazon EC2 网络接口、安全组和实例`aws-glue-service-resource`。 |
| `"logs:CreateLogGroup"`
`"logs:CreateLogStream"`
`"logs:PutLogEvents"` | `"arn:aws:logs:::log-group:/aws-glue-databrew/*"` | 允许将日志写入 Amazon CloudWatch 日志
DataBrew 将日志写入名称以开头的日志组`aws-glue-databrew`。 |
| `"lakeformation:GetDataAccess"` | `"*"` | 允许访问 Amazon Lake Formation,前提`"Glue":"GetTable"`是也允许访问
使用 Lake Formation 需要在 Lake Formation 控制台中进行进一步配置。 |