使用加密的 IAM 政策 DataBrew - Amazon Glue DataBrew
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用加密的 IAM 政策 DataBrew

AwsGlueDataBrewS3EncryptedPolicy策略授予代表非管理员用户访问用 Amazon Key Management Service (Amazon KMS) 加密的 S3 对象所需的权限。

按如下方式自定义策略:

  1. 替换策略中的 Amazon S3 路径,使其指向您要使用的路径。在示例文本中,BUCKET-NAME-1/SPECIFIC-OBJECT-NAME表示特定的对象或文件。 BUCKET-NAME-2/表示路径名以开头的所有对象 (*) BUCKET-NAME-2/。更新它们以命名您正在使用的存储桶。

  2. (可选)在 Amazon S3 路径中使用通配符进一步限制权限。有关更多信息,请参阅 IAM policy 元素:变量和标签

    作为执行此操作的一部分,您可以限制操作s3:PutObject和的权限s3:PutBucketCORS。只有创建 DataBrew 项目的用户才需要这些操作,因为这些用户需要能够将输出文件发送到 S3。

    要了解更多信息并查看您可以向 Amazon S3 的 IAM 策略添加内容的一些示例,请参阅存储桶策略示例

  3. ToUseKms文件 ARNs 中找到以下资源。

    "arn:aws:kms:AWS-REGION-NAME:AWS-ACCOUNT-ID-WITHOUT-DASHES:key/KEY-IDS", "arn:aws:kms:AWS-REGION-NAME:AWS-ACCOUNT-ID-WITHOUT-DASHES:key/KEY-IDS"
  4. 将示例 Amazon 账户更改为您的 Amazon 账号(不含连字符)。

  5. 更改示例列表,改为列出您要使用的 IAM 角色。我们建议您将 IAM 策略的范围限定为尽可能小的权限集。但是,您可以允许您的用户访问所有 IAM 角色,例如,如果您使用的是包含示例数据的个人学习账户。要允许列表访问所有 IAM 角色,请将示例列表更改为一个条目:"arn:aws:iam::111122223333:role/*"

下表描述了此策略授予的权限。

操作 资源 描述

"s3:GetObject"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许您预览文件。

"s3:ListBucket"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许列出项目、数据集和作业中的 Amazon S3 存储桶。

"s3:PutObject"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许将输出文件发送到 S3。

"s3:DeleteObject"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许删除由创建的对象 DataBrew。
"kms:Decrypt"

"arn:aws:kms:::key/key_ids"

允许对加密的数据集进行解密。

"kms:GenerateDataKey*"

"arn:aws:kms:::key/key_ids"

允许对任务输出进行加密。

为 DataBrew(控制台)定义 AwsGlueDataBrew S3 EncryptedPolicy IAM 策略
  1. 下载 AwsGlueDataBrewS3EncryptedPolicyIAM 策略的 JSON。

  2. 登录 Amazon Web Services Management Console 并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  3. 在导航窗格中,选择策略

  4. 对于每个策略,选择创建策略

  5. 创建策略屏幕上,导航到 JSON 选项卡。

  6. 在编辑器中将策略 JSON 语句粘贴到示例语句上。

  7. 确认该政策是根据您的账户、安全要求和所需 Amazon 资源定制的。如果您需要进行更改,可以在编辑器中进行更改。

  8. 选择查看策略

为 DataBrew (Amazon CLI) 定义 AwsGlueDataBrew S3 EncryptedPolicy IAM 策略
  1. 下载适用的 JSON AwsGlueDataBrewS3EncryptedPolicy

  2. 按照上一个过程的第一步中所述自定义策略。

  3. 运行以下命令来创建策略。

    aws iam create-policy --policy-name AwsGlueDataBrewS3EncryptedPolicy --policy-document file://iam-policy-AwsGlueDataBrewS3EncryptedPolicy.json