Amazon Glue 中的安全性 API - Amazon Glue
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Glue 中的安全性 API

安全性 API 介绍安全数据类型以及与 Amazon Glue 中的安全性相关的 API。

数据类型

DataCatalogEncryptionSettings 结构

包含用于维护数据目录安全性的配置信息。

字段
  • EncryptionAtRest – 一个 EncryptionAtRest 对象。

    为数据目录指定静态加密配置。

  • ConnectionPasswordEncryption – 一个 ConnectionPasswordEncryption 对象。

    启用连接密码保护后,数据目录使用客户提供的密钥作为 CreateConnectionUpdateConnection 的一部分来加密密码,并将密码存储在连接属性中的 ENCRYPTED_PASSWORD 字段中。您可以启用目录加密或仅密码加密。

EncryptionAtRest 结构

为数据目录指定静态加密配置。

字段
  • CatalogEncryptionMode必填: UTF-8 字符串(有效值:DISABLED | SSE-KMS="SSEKMS" | SSE-KMS-WITH-SERVICE-ROLE="SSEKMSWITHSERVICEROLE")。

    用于对数据目录数据进行加密的静态加密模式。

  • SseAwsKmsKeyId – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    用于静态加密的 Amazon KMS 密钥的 ID。

  • CatalogEncryptionServiceRole – UTF-8 字符串,与 Custom string pattern #24 匹配。

    Amazon Glue 为了代表调用者加密和解密数据目录对象而代入的角色。

ConnectionPasswordEncryption 结构

数据目录用于加密密码的数据结构,作为 CreateConnectionUpdateConnection 的一部分,并将其存储在连接属性的 ENCRYPTED_PASSWORD 字段中。您可以启用目录加密或仅密码加密。

当包含密码的 CreationConnection 请求到达时,数据目录首先使用您的 Amazon KMS 密钥加密密码。然后,如果还启用了目录加密,数据目录会再次加密整个连接对象。

此加密要求您根据安全要求设置 Amazon KMS 密钥权限以启用或限制对密码密钥的访问。例如,您可能只希望管理员拥有密码密钥的解密权限。

字段
  • ReturnConnectionPasswordEncrypted必填:布尔值。

    ReturnConnectionPasswordEncrypted 标记设置为“true”时,在 GetConnectionGetConnections 响应中密码仍然保持加密状态。此加密独立于目录加密生效。

  • AwsKmsKeyId – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    用于加密连接密码的 Amazon KMS 密钥。

    如果启用了连接密码保护,则 CreateConnectionUpdateConnection 的调用方至少需要指定的 Amazon KMS 密钥的 kms:Encrypt 权限,才能在将密码存储在数据目录中之前加密密码。

    您可以根据安全要求设置解密权限以启用或限制对密码密钥的访问。

EncryptionConfiguration 结构

指定加密配置。

字段
  • S3EncryptionS3Encryption 对象的数组。

    Amazon Simple Storage Service (Amazon S3) 数据的加密配置。

  • CloudWatchEncryption – 一个 CloudWatchEncryption 对象。

    Amazon CloudWatch 的加密配置。

  • JobBookmarksEncryption – 一个 JobBookmarksEncryption 对象。

    作业书签的加密配置。

S3Encryption 结构

指定怎样对 Amazon Simple Storage Service(Amazon S3)数据进行加密。

字段
  • S3EncryptionMode – UTF-8 字符串(有效值:DISABLED | SSE-KMS="SSEKMS" | SSE-S3="SSES3")。

    用于 Amazon S3 数据的加密模式。

  • KmsKeyArn – UTF-8 字符串,与 Custom string pattern #25 匹配。

    用于加密数据的 KMS 密钥的 Amazon Resource Name(ARN)。

CloudWatchEncryption 结构

指定如何加密 Amazon CloudWatch 数据。

字段
  • CloudWatchEncryptionMode – UTF-8 字符串(有效值:DISABLED | SSE-KMS="SSEKMS")。

    用于 CloudWatch 数据的加密模式。

  • KmsKeyArn – UTF-8 字符串,与 Custom string pattern #25 匹配。

    用于加密数据的 KMS 密钥的 Amazon Resource Name(ARN)。

JobBookmarksEncryption 结构

指定如何加密任务书签数据。

字段
  • JobBookmarksEncryptionMode – UTF-8 字符串(有效值:DISABLED | CSE-KMS="CSEKMS")。

    用于任务书签数据的加密模式。

  • KmsKeyArn – UTF-8 字符串,与 Custom string pattern #25 匹配。

    用于加密数据的 KMS 密钥的 Amazon Resource Name(ARN)。

SecurityConfiguration 结构

指定安全配置。

字段
  • Name – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    安全配置的名称。

  • CreatedTimeStamp – 时间戳。

    创建此安全配置的时间点。

  • EncryptionConfiguration – 一个 EncryptionConfiguration 对象。

    与此安全配置关联的加密配置。

GluePolicy 结构

返回资源策略的结构。

字段
  • PolicyInJson – UTF-8 字符串,至少 2 个字节。

    包含 JSON 格式的请求策略文档。

  • PolicyHash – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    包含与此策略关联的哈希值。

  • CreateTime – 时间戳。

    创建策略的日期和时间。

  • UpdateTime – 时间戳。

    上次更新策略的日期和时间。

操作

GetDataCatalogEncryptionSettings 操作(Python:get_data_catalog_encryption_settings)

检索指定目录的安全配置。

请求
  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    要检索其安全配置的数据目录的 ID。如果没有提供,则默认情况下使用 Amazon 账户 ID。

响应
错误
  • InternalServiceException

  • InvalidInputException

  • OperationTimeoutException

PutDataCatalogEncryptionSettings 操作(Python: put_data_catalog_encryption_settings)

设置指定目录的安全配置。设置配置后,指定的加密将应用于之后的每个目录写入。

请求
  • CatalogId – 目录 id 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    要设置其安全配置的数据目录的 ID。如果没有提供,则默认情况下使用 Amazon 账户 ID。

  • DataCatalogEncryptionSettings必填:一个 DataCatalogEncryptionSettings 对象。

    要设置的安全配置。

响应
  • 无响应参数。

错误
  • InternalServiceException

  • InvalidInputException

  • OperationTimeoutException

PutResourcePolicy 操作(Python:put_resource_policy)

设置用于访问控制的数据目录资源策略。

请求
  • PolicyInJson必需: UTF-8 字符串,至少 2 个字节。

    包含要设置的 JSON 格式的策略文档。

  • ResourceArn – UTF-8 字符串,长度不少于 1 个字节或超过 10240 个字节,与 Custom string pattern #22 匹配。

    不使用。仅供内部使用。

  • PolicyHashCondition – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    在使用 PutResourcePolicy 设置上一个策略时返回的哈希值。其用途是防止并发修改策略。如果未设置先前策略,请勿使用此参数。

  • PolicyExistsCondition – UTF-8 字符串(有效值:MUST_EXIST | NOT_EXIST | NONE)。

    MUST_EXIST 的值用于更新策略。NOT_EXIST 的值用于创建新策略。如果使用 NONE 值或空值,调用不依赖于策略是否存在。

  • EnableHybrid – UTF-8 字符串(有效值:TRUE | FALSE)。

    如果 'TRUE',表示您正在使用这两种方法来授予对数据目录资源的跨账户访问权限:

    • 通过使用 PutResourePolicy 直接更新资源策略

    • 通过使用 Amazon Web Services Management Console 上的授予权限命令。

    如果您已经使用管理控制台授予跨账户访问权限,则必须设置为 'TRUE',否则调用会失败。默认设置为“FALSE”。

响应
  • PolicyHash – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    刚刚设置的策略的哈希。此值必须包含在覆盖或更新该策略的后续调用中。

错误
  • EntityNotFoundException

  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

  • ConditionCheckFailureException

GetResourcePolicy 操作(Python:get_resource_policy)

检索指定的资源策略。

请求
  • ResourceArn – UTF-8 字符串,长度不少于 1 个字节或超过 10240 个字节,与 Custom string pattern #22 匹配。

    要检索其资源策略的 Amazon Glue 资源的 ARN。如果未提供,则返回数据目录资源策略。使用 GetResourcePolicies 查看所有现有资源策略。有关更多信息,请参阅指定 Amazon Glue 资源 ARN

响应
  • PolicyInJson – UTF-8 字符串,至少 2 个字节。

    包含 JSON 格式的请求策略文档。

  • PolicyHash – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    包含与此策略关联的哈希值。

  • CreateTime – 时间戳。

    创建策略的日期和时间。

  • UpdateTime – 时间戳。

    上次更新策略的日期和时间。

错误
  • EntityNotFoundException

  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

DeleteResourcePolicy 操作(Python:delete_resource_policy)

删除指定的策略。

请求
  • PolicyHashCondition – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    设置此策略时返回的哈希值。

  • ResourceArn – UTF-8 字符串,长度不少于 1 个字节或超过 10240 个字节,与 Custom string pattern #22 匹配。

    要删除的资源策略的 Amazon Glue 资源的 ARN。

响应
  • 无响应参数。

错误
  • EntityNotFoundException

  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

  • ConditionCheckFailureException

CreateSecurityConfiguration 操作(Python:create_security_configuration)

创建新的安全配置。安全配置是 Amazon Glue 可以使用的一组安全属性。您可以使用安全配置加密静态数据。有关使用 Amazon Glue 中的安全配置的信息,请参阅加密由爬网程序、任务和开发端点写入的数据

请求
  • Name必填:UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    新安全配置的名称。

  • EncryptionConfiguration必填:一个 EncryptionConfiguration 对象。

    新安全配置的加密配置。

响应
  • Name – UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    分配给新安全配置的名称。

  • CreatedTimestamp – 时间戳。

    创建新安全配置的时间点。

错误
  • AlreadyExistsException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

  • ResourceNumberLimitExceededException

DeleteSecurityConfiguration 操作(Python:delete_security_configuration)

删除指定的安全配置。

请求
  • Name必填:UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    要删除的安全配置的名称。

响应
  • 无响应参数。

错误
  • EntityNotFoundException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

GetSecurityConfiguration 操作(Python:get_security_configuration)

检索指定的安全配置。

请求
  • Name必填:UTF-8 字符串,长度不少于 1 个字节或超过 255 个字节,与 Single-line string pattern 匹配。

    要检索的安全配置的名称。

响应
错误
  • EntityNotFoundException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

GetSecurityConfigurations 操作(Python:get_security_configurations)

检索所有安全配置的列表。

请求
  • MaxResults – 数字(整数),不小于 1 或大于 1000。

    要返回的最大结果数量。

  • NextToken – UTF-8 字符串。

    延续标记 (如果这是延续调用)。

响应
  • SecurityConfigurationsSecurityConfiguration 对象的数组。

    安全配置的列表。

  • NextToken – UTF-8 字符串。

    一个延续令牌(如果有多个安全配置要返回)。

错误
  • EntityNotFoundException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

GetResourcePolicies 操作(Python:get_resource_policie)

在跨账户权限授予期间检索 Amazon Resource Access Manager 在单个资源上设置的资源策略。同时检索数据目录资源策略。

如果您在数据目录设置中启用了元数据加密,并且您没有 Amazon KMS 密钥的权限,则操作无法返回数据目录资源策略。

请求
  • NextToken – UTF-8 字符串。

    延续令牌 (如果这是延续请求)。

  • MaxResults – 数字(整数),不小于 1 或大于 1000。

    要返回的列表的最大大小。

响应
  • GetResourcePoliciesResponseListGluePolicy 对象的数组。

    单个资源策略和账户级资源策略列表。

  • NextToken – UTF-8 字符串。

    延续令牌(如果返回的列表不包含上一个可用的资源策略)。

错误
  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

  • GlueEncryptionException