角色和角色的权限AmazonGlue 蓝图 - Amazon连接词
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

角色和角色的权限AmazonGlue 蓝图

这些区域有:AmazonGlue 蓝图功能为预览版AmazonGlue 附和可能会发生变化。

以下为用于角色和角色的典型角色和建议 AWS Identity and Access Management (IAM) 权限策略。AmazonGlue 蓝图

蓝图角色

以下是生命周期中通常涉及的角色AmazonGlue 蓝图

角色 描述
AmazonGlue 开发 开发、测试和发布蓝图。
AmazonGlue 管理员 注册、维护和授予蓝图的权限。
数据分析 运行蓝图以创建工作流。

有关更多信息,请参阅 中的蓝图概述Amazon连接词

蓝图角色的权限

以下是针对每个蓝图角色的建议权限。

Amazon蓝图的 Glue 开发人员权限

这些区域有:AmazonGlue 开发人员必须对用于发布蓝图的 Amazon S3 存储桶具有写入权限。通常情况下,开发人员在上传蓝图后注册蓝图。在这种情况下,开发人员需要Amazon蓝图的 Glue 管理员权限。此外,如果开发人员希望在蓝图注册后测试蓝图,他或她还需要蓝图的数据分析员权限

Amazon蓝图的 Glue 管理员权限

以下策略授予注册、查看和维护权限AmazonGlue 蓝图

重要

在以下策略中,将<s3-bucket-name><prefix>使用 Amazon S3 路径来上传蓝图 ZIP 档案以进行注册。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateBluePrint", "glue:UpdateBlueprint", "glue:DeleteBluePrint", "glue:GetBluePrint", "glue:ListBlueprints", "glue:BatchGetBlueprints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::<s3-bucket-name>/<prefix>/*" } ] }

蓝图的数据分析员权限

以下策略授予运行蓝图以及查看生成的工作流和工作流组件的权限。它还授予PassRole的角色AmazonGlue 假定创建工作流和工作流组件。

策略授予对任何资源的权限。如果要配置对单个蓝图的精细访问,请对蓝图 ARN 使用以下格式:

arn:aws:glue:<region>:<account-id>:blueprint/<blueprint-name>
重要

在以下策略中,将<account-id>具有有效Amazon帐户并替换<role-name>替换为用于运行蓝图的角色的名称。请参阅蓝图角色的权限获取此角色所需的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:ListBlueprints", "glue:GetBlueprint", "glue:StartBlueprintRun", "glue:GetBlueprintRun", "glue:GetBlueprintRuns", "glue:GetCrawler", "glue:ListTriggers", "glue:ListJobs", "glue:BatchGetCrawlers", "glue:GetTrigger", "glue:BatchGetWorkflows", "glue:BatchGetTriggers", "glue:BatchGetJobs", "glue:BatchGetBlueprints", "glue:GetWorkflowRun", "glue:GetWorkflowRuns", "glue:ListCrawlers", "glue:ListWorkflows", "glue:GetJob", "glue:GetWorkflow", "glue:StartWorkflowRun" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::<account-id>:role/<role-name>" } ] }

蓝图角色的权限

以下是用于从蓝图创建工作流的 IAM 角色的建议权限。该角色必须与具有信任关系glue.amazonaws.com

重要

在以下策略中,将<account-id>具有有效Amazon帐户,然后替换<role-name>替换为角色的名称。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateJob", "glue:GetCrawler", "glue:GetTrigger", "glue:DeleteCrawler", "glue:CreateTrigger", "glue:DeleteTrigger", "glue:DeleteJob", "glue:CreateWorkflow", "glue:DeleteWorkflow", "glue:GetJob", "glue:GetWorkflow", "glue:CreateCrawler" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::<account-id>:role/<role-name>" } ] }
注意

如果工作流中的作业和爬虫程序担任此角色以外的角色,则此策略必须包含iam:PassRole权限,而不是蓝图角色上的权限。