如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。
在 AWS Glue 控制台中使用数据目录设置
Data Catalog设置页面包含用于为账户中的Data Catalog设置属性的选项。
更改Data Catalog的精细访问控制
-
通过以下网址登录 AWS 管理控制台并打开 AWS Glue 控制台:https://console.amazonaws.cn/glue/
。 -
选择设置,然后在权限编辑器中添加策略声明来为您的账户更改Data Catalog的精细访问控制。一次只能将一个策略附加到Data Catalog。
-
选择保存,以用您所做的任何更改更新您的Data Catalog。
您还可以使用 AWS Glue API 操作来放置、获取和删除资源策略。有关更多信息,请参阅 AWS Glue 中的安全 API。
设置页面显示以下选项:
- 元数据加密
-
选中此复选框可加密 Data Catalog 中的元数据。系统使用您指定的 AWS Key Management Service (AWS KMS) 密钥对元数据进行静态加密。
重要 AWS Glue 仅支持对称客户主密钥 (CMK)。AWS KMS 密钥列表仅显示对称密钥。但是,如果选择 Choose a KMS key ARN (选择 KMS 密钥 ARN),则控制台将允许您输入任何密钥类型的 ARN。确保仅输入对称密钥的 ARN。
- 加密连接密码
-
选中此复选框可在创建或更新连接时加密 AWS Glue 连接对象中的密码。系统使用您指定的 AWS KMS 密钥对密码进行加密。返回密码时,会对其进行加密。此选项是Data Catalog中所有 AWS Glue 连接的全局设置。如果清除此复选框,则先前加密的密码会保持加密状态,而密钥就是在以前创建或更新这些密码时所使用的密钥。有关 AWS Glue 连接的更多信息,请参阅在 AWS Glue Data Catalog 中定义连接。
启用此选项后,请选择 AWS KMS 密钥,或者选择输入密钥 ARN 并提供密钥的 Amazon 资源名称 (ARN)。输入
arn:aws:kms:格式的 ARN。您也可以提供密钥别名形式的 ARN,例如region:account-id:key/key-idarn:aws:kms:。region:account-id:alias/alias-name重要 如果选择此选项,则创建或更新连接的任何用户或角色必须对指定的 KMS 密钥具有
kms:Encrypt权限。 - 权限
-
添加资源策略,以定义对Data Catalog访问权限的精细控制。您可以将 JSON 资源策略粘贴到此控件中。有关更多信息,请参阅 Resource Policies。