AWS Glue 中的安全性APIs - AWS Glue
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Glue 中的安全性APIs

安全性 API 介绍安全数据类型以及与 AWS Glue 中的安全性相关的 API。

数据类型

DataCatalogEncryptionSettings结构

包含用于维护数据目录安全性的配置信息。

Fields

  • EncryptionAtRest – 一个 EncryptionAtRest 对象。

    为数据目录指定静态加密配置。

  • ConnectionPasswordEncryption – 一个 ConnectionPasswordEncryption 对象。

    启用连接密码保护后,数据目录使用客户提供的密钥作为 CreateConnectionUpdateConnection 的一部分来加密密码,并将密码存储在连接属性中的 ENCRYPTED_PASSWORD 字段中。您可以启用目录加密或仅密码加密。

EncryptionAtRest结构

为数据目录指定静态加密配置。

Fields

  • CatalogEncryptionMode必需:UTF-8 字符串(有效值:DISABLED | SSE-KMS="SSEKMS")。

    用于对数据目录数据进行加密的静态加密模式。

  • SseAwsKmsKeyId – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    用于静态加密的 AWS KMS 密钥的 ID。

ConnectionPasswordEncryption结构

数据目录用于加密密码的数据结构,作为 CreateConnectionUpdateConnection 的一部分,并将其存储在连接属性的 ENCRYPTED_PASSWORD 字段中。您可以启用目录加密或仅密码加密。

当包含密码的 CreationConnection 请求到达时,数据目录首先使用您的 AWS KMS 密钥加密密码。然后,如果还启用了目录加密,数据目录会再次加密整个连接对象。

此加密要求您根据安全要求设置 AWS KMS 密钥权限以启用或限制对密码密钥的访问。例如,您可能只希望管理员拥有密码密钥的解密权限。

Fields

  • ReturnConnectionPasswordEncrypted必需:布尔值。

    ReturnConnectionPasswordEncrypted 标志设置为“true”时,密码在 GetConnectionGetConnections 的响应中保持加密状态。 此加密独立于目录加密生效。

  • AwsKmsKeyId – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    用于加密连接密码的 AWS KMS 密钥。

    如果启用了连接密码保护,则 CreateConnectionUpdateConnection 的调用方至少需要指定的 AWS KMS 密钥的 kms:Encrypt 权限,才能在将密码存储在数据目录中之前加密密码。

    您可以根据安全要求设置解密权限以启用或限制对密码密钥的访问。

EncryptionConfiguration结构

指定加密配置。

Fields

  • S3Encryption – 对象的数组。S3Encryption

    Amazon Simple Storage Service (Amazon S3) 数据的加密配置。

  • CloudWatchEncryption – 一个 CloudWatchEncryption 对象。

    Amazon CloudWatch 的加密配置。

  • JobBookmarksEncryption – 一个 JobBookmarksEncryption 对象。

    作业书签的加密配置。

S3Encryption结构

指定怎样对 Amazon Simple Storage Service (Amazon S3) 数据进行加密。

Fields

  • S3EncryptionMode – UTF-8 字符串(有效值:DISABLED | SSE-KMS="SSEKMS" | SSE-S3="SSES3")。

    用于 Amazon S3 数据的加密模式。

  • KmsKeyArn – UTF-8 字符串,与 Custom string pattern #16 匹配。

    用于加密数据的 KMS 密钥的 Amazon 资源名称 (ARN)。

CloudWatchEncryption结构

指定如何加密 Amazon CloudWatch 数据。

Fields

  • CloudWatchEncryptionMode – UTF-8 字符串(有效值:DISABLED | SSE-KMS="SSEKMS")。

    用于 CloudWatch 数据的加密模式。

  • KmsKeyArn – UTF-8 字符串,与 Custom string pattern #16 匹配。

    用于加密数据的 KMS 密钥的 Amazon 资源名称 (ARN)。

JobBookmarksEncryption结构

指定如何加密作业书签数据。

Fields

  • JobBookmarksEncryptionMode – UTF-8 字符串(有效值:DISABLED | CSE-KMS="CSEKMS")。

    用于作业书签数据的加密模式。

  • KmsKeyArn – UTF-8 字符串,与 Custom string pattern #16 匹配。

    用于加密数据的 KMS 密钥的 Amazon 资源名称 (ARN)。

SecurityConfiguration结构

指定安全配置。

Fields

  • Name – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    安全配置的名称。

  • CreatedTimeStamp – 时间戳。

    创建此安全配置的时间点。

  • EncryptionConfiguration – 一个 EncryptionConfiguration 对象。

    与此安全配置关联的加密配置。

GluePolicy结构

用于返回资源策略的结构。

Fields

  • PolicyInJson – UTF-8 字符串,长度不少于 2 个字节或超过 10240 个字节。

    包含请求的策略文档,采用 JSON 格式。

  • PolicyHash – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    包含与此策略关联的哈希值。

  • CreateTime – 时间戳。

    创建策略的日期和时间。

  • UpdateTime – 时间戳。

    上次更新策略的日期和时间。

Operations

GetDataCatalogEncryptionSettings 操作 (Python:get_data_catalog_encryption_settings)

检索指定目录的安全配置。

Request

  • CatalogId – 目录 ID 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    要检索其安全配置的数据目录的 ID。如果没有提供,则默认情况下使用 AWS 账户 ID。

Response

Errors

  • InternalServiceException

  • InvalidInputException

  • OperationTimeoutException

PutDataCatalogEncryptionSettings 操作(Python:put_data_catalog_encryption_settings)

设置指定目录的安全配置。设置配置后,指定的加密将应用于之后的每个目录写入。

Request

  • CatalogId – 目录 ID 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    要设置其安全配置的数据目录的 ID。如果没有提供,则默认情况下使用 AWS 账户 ID。

  • DataCatalogEncryptionSettings必需:一个 DataCatalogEncryptionSettings 对象。

    要设置的安全配置。

Response

  • 无响应参数。

Errors

  • InternalServiceException

  • InvalidInputException

  • OperationTimeoutException

PutResourcePolicy 操作(Python:put_resource_policy)

设置用于访问控制的数据目录资源策略。

Request

  • PolicyInJson必需:UTF-8 字符串,长度不少于 2 个字节或超过 10240 个字节。

    包含要设置的策略文档,采用 JSON 格式。

  • ResourceArn – UTF-8 字符串,长度不少于 1 个字节或超过 10240 个字节,与 AWS Glue ARN string pattern 匹配。

    要设置的资源策略的 AWS Glue 资源的 ARN。有关 AWS Glue 资源 ARNs 的更多信息,请参阅 AWS Glue ARN 字符串模式

  • PolicyHashCondition – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    在使用 PutResourcePolicy 设置上一个策略时返回的哈希值。 其用途是防止并发修改策略。如果未设置先前策略,请勿使用此参数。

  • PolicyExistsCondition – UTF-8 字符串(有效值:MUST_EXIST | NOT_EXIST | NONE)。

    MUST_EXIST 的值用于更新策略。NOT_EXIST 的值用于创建新策略。如果使用值 NONE 或空值,调用将依赖于策略是否存在。

  • EnableHybrid – UTF-8 字符串(有效值:TRUE | FALSE)。

    允许您指定是否要同时使用资源级和账户/目录级资源策略。资源级策略是附加到单个资源(如数据库或表)的策略。

    默认值 NO 表示资源级策略无法与账户级策略共存。值 YES 表示同时使用资源级和账户/目录级资源策略。

Response

  • PolicyHash – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    刚刚设置的策略的哈希。此值必须包含在覆盖或更新该策略的后续调用中。

Errors

  • EntityNotFoundException

  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

  • ConditionCheckFailureException

GetResourcePolicy 操作 (Python:get_resource_policy)

检索指定的资源策略。

Request

Response

  • PolicyInJson – UTF-8 字符串,长度不少于 2 个字节或超过 10240 个字节。

    包含请求的策略文档,采用 JSON 格式。

  • PolicyHash – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    包含与此策略关联的哈希值。

  • CreateTime – 时间戳。

    创建策略的日期和时间。

  • UpdateTime – 时间戳。

    上次更新策略的日期和时间。

Errors

  • EntityNotFoundException

  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

DeleteResourcePolicy 操作 (Python:delete_resource_policy)

删除指定的策略。

Request

  • PolicyHashCondition – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    设置此策略时返回的哈希值。

  • ResourceArn – UTF-8 字符串,长度不少于 1 个字节或超过 10240 个字节,与 AWS Glue ARN string pattern 匹配。

    要删除的资源策略的 AWS Glue 资源的 ARN。

Response

  • 无响应参数。

Errors

  • EntityNotFoundException

  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

  • ConditionCheckFailureException

CreateSecurityConfiguration 操作(Python:create_security_configuration)

创建新的安全配置。安全配置是 AWS Glue 可以使用的一组安全属性。您可以使用安全配置加密静态数据。有关使用 AWS Glue 中的安全配置的信息,请参阅加密由爬网程序、任务和开发终端节点写入的数据

Request

  • Name必需:UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    新安全配置的名称。

  • EncryptionConfiguration必需:一个 EncryptionConfiguration 对象。

    新安全配置的加密配置。

Response

  • Name – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    分配给新安全配置的名称。

  • CreatedTimestamp – 时间戳。

    创建新安全配置的时间点。

Errors

  • AlreadyExistsException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

  • ResourceNumberLimitExceededException

DeleteSecurityConfiguration 操作(Python:delete_security_configuration)

删除指定的安全配置。

Request

  • Name必需:UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    要删除的安全配置的名称。

Response

  • 无响应参数。

Errors

  • EntityNotFoundException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

GetSecurityConfiguration 操作 (Python:get_security_configuration)

检索指定的安全配置。

Request

  • Name必需:UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    要检索的安全配置的名称。

Response

Errors

  • EntityNotFoundException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

GetSecurityConfigurations 操作 (Python:get_security_configurations)

检索所有安全配置的列表。

Request

  • MaxResults – 数字(整数),不小于 1 或大于 1000。

    要返回的最大结果数量。

  • NextToken – UTF-8 字符串。

    延续标记 (如果这是延续调用)。

Response

  • SecurityConfigurations – 对象的数组。SecurityConfiguration

    安全配置的列表。

  • NextToken – UTF-8 字符串。

    一个延续令牌(如果有多个安全配置要返回)。

Errors

  • EntityNotFoundException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

GetResourcePolicies 操作 (Python:get_resource_policies)

检索针对单个资源设置的资源策略的安全配置以及账户级策略。

此操作还会返回数据目录资源策略。但是,如果您在数据目录设置中启用了元数据加密,并且您没有 AWS KMS 密钥的权限,则该操作无法返回数据目录资源策略。

Request

  • NextToken – UTF-8 字符串。

    延续令牌 (如果这是延续请求)。

  • MaxResults – 数字(整数),不小于 1 或大于 1000。

    要返回的列表的最大大小。

Response

  • GetResourcePoliciesResponseList – 对象的数组。GluePolicy

    各个资源策略和账户级资源策略的列表。

  • NextToken – UTF-8 字符串。

    延续令牌 (如果返回的列表不包含最后一个可用的资源策略)。

Errors

  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

  • GlueEncryptionException