使用加密的 IAM 策略DataBrew - Amazon Glue DataBrew
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用加密的 IAM 策略DataBrew

这个AwsGlueDataBrewS3EncryptedPolicy策略授予访问使用加密的 S3 对象所需的权限Amazon Key Management Service(Amazon KMS) 代表非管理员用户。

按如下方式自定义策略:

  1. 替换策略中的 Amazon S3 路径,使其指向您要使用的路径。在示例文本中,BUCKET-NAME-1/SPECIFIC-OBJECT-NAME代表特定的对象或文件。BUCKET-NAME-2/代表所有对象 (*) 其路径名以开头BUCKET-NAME-2/。更新这些文件以命名您正在使用的存储桶。

  2. (可选)在 Amazon S3 路径中使用通配符进一步限制权限。有关更多信息,请参阅 IAM policy 元素:变量和标签

    作为执行此操作的一部分,您可能会限制操作的权限s3:PutObjects3:PutBucketCORS。只有创建的用户才需要这些操作DataBrew项目,因为这些用户需要能够将输出文件发送到 S3。

    要了解更多信息并查看可以向 Amazon S3 的 IAM 策略添加内容的一些示例,请参阅存储桶策略示例

  3. 在中找到以下资源 ARNToUseKms文件。

    "arn:aws:kms:AWS-REGION-NAME:AWS-ACCOUNT-ID-WITHOUT-DASHES:key/KEY-IDS", "arn:aws:kms:AWS-REGION-NAME:AWS-ACCOUNT-ID-WITHOUT-DASHES:key/KEY-IDS"
  4. 更改示例Amazon账户到你的Amazon账号(不带连字符)。

  5. 更改示例列表,改为列出您要使用的 IAM 角色。我们建议将您的 IAM 策略范围限定为尽可能小的权限集。但是,您可以允许您的用户访问所有 IAM 角色,例如,如果您使用的是包含示例数据的个人学习账户。要允许列表访问所有 IAM 角色,请将示例列表更改为一个条目:"arn:aws:iam::111122223333:role/*"

下表描述了此策略授予的权限。

Action 资源 描述

"s3:GetObject"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许您预览文件。

"s3:ListBucket"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许列出项目、数据集和任务中的 Amazon S3 存储桶。

"s3:PutObject"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许将输出文件发送到 S3。

"s3:DeleteObject"

"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"

允许删除由创建的对象DataBrew。
"kms:Decrypt"

"arn:aws:kms:::key/key_ids"

允许对加密数据集进行解密。

"kms:GenerateDataKey*"

"arn:aws:kms:::key/key_ids"

允许对作业输出进行加密。

要定义AwsGlueDataBrewS3EncryptedPolicy适用于 IAM 的政策DataBrew(控制台)
  1. 下载 JSONAwsGlueDataBrewS3EncryptedPolicyIAM 政策。

  2. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  3. 在导航窗格中,选择 Policies (策略)

  4. 对于每项政策,选择创建策略

  5. 创建策略屏幕,导航到JSON选项卡。

  6. 将策略 JSON 语句粘贴到编辑器中的示例语句上。

  7. 确认该政策已根据您的账户、安全要求进行自定义且为必填项Amazon资源。如果您需要进行更改,可以在编辑器中进行更改。

  8. 选择Review policy(查看策略)

要定义AwsGlueDataBrewS3EncryptedPolicy适用于 IAM 的政策DataBrew(Amazon CLI)
  1. 下载以下的 JSONAwsGlueDataBrewS3EncryptedPolicy

  2. 按照前面步骤的第一步中所述自定义策略。

  3. 运行以下命令来创建策略。

    aws iam create-policy --policy-name AwsGlueDataBrewS3EncryptedPolicy --policy-document file://iam-policy-AwsGlueDataBrewS3EncryptedPolicy.json