本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 操作方法 Amazon Glue DataBrew 与 IAM 配合使用
在使用 IAM 管理访问权限之前 DataBrew,您应该了解哪些可用的 IAM 功能 DataBrew。要全面了解如何 DataBrew 和其他 Amazon 服务与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的Amazon 服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [DataBrew 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [Resource-based 中的政策 DataBrew](#security_iam_service-with-iam-resource-based-policies)
+ [DataBrew IAM 角色](#security_iam_service-with-iam-roles)
## DataBrew 基于身份的策略
使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,并指定在什么条件下允许或拒绝操作。 DataBrew 支持特定操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说, Amazon JSON 策略可以指定哪些委托人可以在什么条件下对哪些资源执行操作。
JSON 策略的 Action 元素描述您可在策略中允许或拒绝访问的操作。策略操作通常与关联的 Amazon API 操作同名。有一些例外情况,例如没有匹配 API 操作的仅限权限 操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作。
在策略中包含操作以授予执行关联操作的权限。
正在执行的策略操作在操作前 DataBrew 使用以下前缀:`databrew:`. 例如,要授予某人使用 Amazon EC2 `RunInstances` API 操作运行 Amazon EC2 实例的权限,您应将 `ec2:RunInstances` 操作纳入其策略。策略声明必须包含`Action`或`NotAction`元素。 DataBrew 定义了它自己的一组操作,这些操作描述了你可以用它执行的任务。
要在单个语句中指定多项 操作,请使用逗号将它们隔开,如下所示。
```
"Action": [
"databrew:CreateRecipeJob",
"databrew:UpdateSchedule"
```
您也可以使用通配符 (\*) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,请包括以下操作。
```
"Action": "databrew:Describe*"
```
要查看 DataBrew 操作列表,请参阅 *IAM 用户指南 Amazon Glue DataBrew*中的[定义操作](https://docs.amazonaws.cn/service-authorization/latest/reference/list_databrew.html#databrew-actions-as-permissions)。
### 资源
管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\*) 指示语句应用于所有资源。
```
"Resource": "*"
```
以下是不支持资源级权限 DataBrew 的 API:
+ ListDatasets
+ ListJobs
+ ListProjects
+ ListRecipes
+ ListRulesets
+ ListSchedules
DataBrew 数据集资源具有以下 Amazon 资源名称 (ARN)。
```
arn:${Partition}:databrew:${Region}:${Account}:dataset/${Name}
```
有关 ARN 格式的更多信息,请参阅 A [mazon 资源名称 (ARN) 和 Amazon 服务](https://docs.amazonaws.cn/general/latest/gr/aws-arns-and-namespaces.html)命名空间。
例如,要在语句中指定 `i-1234567890abcdef0` 实例,请使用以下 ARN。
```
"Resource": "arn:aws:databrew:us-east-1:123456789012:dataset/my-chess-dataset"
```
要指定属于特定账户的所有实例,请使用通配符 (\*)。
```
"Resource": "arn:aws:databrew:us-east-1:123456789012:dataset/*"
```
您无法对特定资源执行某些 DataBrew 操作,例如创建资源的操作。在这些情况下,您必须使用通配符(\*)。
```
"Resource": "*"
```
要查看 DataBrew 资源类型及其 ARN 的列表,请参阅 *IAM 用户指南 Amazon Glue DataBrew*中的[由定义的资源](https://docs.amazonaws.cn/service-authorization/latest/reference/list_databrew.html#databrew-resources-for-iam-policies)。要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 [Amazon Glue DataBrew定义的操作](https://docs.amazonaws.cn/service-authorization/latest/reference/list_databrew.html#databrew-actions-as-permissions)。
### 条件键
DataBrew 不提供任何特定于服务的条件密钥,但它确实支持使用一些全局条件键。要查看所有 Amazon 全局条件键,请参阅 *IAM 用户指南*中的[Amazon 全局条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 示例
要查看 DataBrew 基于身份的策略的示例,请参阅。[Identity-based 的策略示例 Amazon Glue DataBrew](security_iam_id-based-policy-examples.md)
## Resource-based 中的政策 DataBrew
DataBrew 不支持基于资源的策略。
## DataBrew IAM 角色
I [AM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)是您的 Amazon 账户中具有特定权限的实体。
### 将临时证书与 DataBrew
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html)或之类的 Amazon STS API 操作来获得临时安全证书[GetFederationToken](https://docs.amazonaws.cn/STS/latest/APIReference/API_GetFederationToken.html)。
DataBrew 支持使用临时证书。
### Service-linked 角色
[Service-linked 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 Amazon 服务访问其他服务中的资源以代表您完成操作。 Service-linked 角色出现在您的 IAM 账户中并归服务所有。管理员可以查看但不能编辑服务相关角色的权限。
### 在中选择 IAM 角色 DataBrew
在中创建数据集资源时 DataBrew,您可以选择一个 IAM 角色来允许您进行 DataBrew 访问。如果您之前创建过服务角色或服务相关角色,则会 DataBrew 为您提供可供选择的角色列表。请务必根据需要选择允许对 Amazon S3 存储桶或 Amazon Glue Data Catalog 资源进行读取权限的角色。