AwsGlueDataBrewCustomUserPolicy - Amazon Glue DataBrew
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

AwsGlueDataBrewCustomUserPolicy

AwsGlueDataBrewCustomUserPolicy 策略授予使用 DataBrew 控制台所需的大部分权限。此策略中指定的某些资源引用了 DataBrew 使用的服务。这些资源包括 Amazon Glue Data Catalog、Amazon S3 存储桶、Amazon CloudWatch Logs 和 Amazon KMS 资源的名称。它与名为 AwsGlueDataBrewFullAccessPolicy 的 Amazon 托管式策略类似。

下表描述了此策略授予的权限。

操作 资源 描述

"databrew:*"

"*"

授予运行所有 DataBrew API 操作的权限。

"glue:GetDatabases"

"glue:GetPartitions"

"glue:GetTable"

"glue:GetTables"

"glue:GetDataCatalogEncryptionSettings"

"*"

允许列出 Amazon Glue 数据库和表。

"dataexchange:ListDataSets"

"dataexchange:ListDataSetRevisions"

"dataexchange:ListRevisionAssets"

"dataexchange:CreateJob"

"dataexchange:StartJob"

"dataexchange:GetJob"

"*"

允许在数据集中列出 Amazon Data Exchange 资源。

"kms:DescribeKey"

"kms:ListKeys"

"kms:ListAliases"

"*"

允许列出用于加密作业输出的 Amazon KMS 密钥。

"kms:GenerateDataKey"

"arn:aws:kms:::key/key_ids"

允许对作业输出进行加密。

"s3:ListAllMyBuckets"

"s3:GetBucketCORS"

"s3:GetBucketLocation"

"s3:GetEncryptionConfiguration"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许为项目、数据集和作业列出 Amazon S3 存储桶。允许将输出文件发送到 S3。

"sts:GetCallerIdentity"

"*"

获取有关当前调用方的信息。

"cloudtrail:LookupEvents",

"*"

允许列出数据集的 Amazon CloudTrail 事件(数据血统)。

"iam:ListRoles"

"iam:GetRole"

"*"

允许列出要用于项目和作业的 IAM 角色。