本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
指定 Amazon Glue 资源 ARN
在 Amazon Glue 中,您可以使用 Amazon Identity and Access Management(IAM)policy 控制对资源的访问。在策略中,您可以使用 Amazon Resource Name(ARN)标识策略应用到的资源。并非 Amazon Glue 中的所有资源都支持 ARN。
主题
数据目录 ARN
数据目录资源具有层次结构,其中以 catalog 作为根。
arn:aws:glue:region:account-id:catalog
每个 Amazon 账户在 Amazon 区域中有单个数据目录,以 12 位的账户 ID 作为目录 ID。资源具有与其关联的唯一 ARN,如下表所示。
| 资源类型 | ARN 格式 |
|---|---|
目录 |
例如: |
数据库 |
例如: |
表 |
例如: |
用户定义的函数 |
例如: |
连接 |
例如: |
交互式会话 |
例如: |
要启用精细访问控制,您可以在 IAM policy 和资源策略中使用这些 ARN 来授予或拒绝对特定资源的访问权限。允许在策略中使用通配符。例如,以下 ARN 与数据库 default 中的所有表匹配。
arn:aws:glue:us-east-1:123456789012:table/default/*
重要
对数据目录资源执行所有操作都需要具有对该资源及其所有原级的权限。例如,要为一个表创建分区,需要具有该表的权限以及该表所在数据库和目录的权限。以下示例显示对数据目录中的数据库 PrivateDatabase 中的表 PrivateTable 创建分区所需的权限。
{ "Sid": "GrantCreatePartitions", "Effect": "Allow", "Action": [ "glue:BatchCreatePartitions" ], "Resource": [ "arn:aws:glue:us-east-1:123456789012:table/PrivateDatabase/PrivateTable", "arn:aws:glue:us-east-1:123456789012:database/PrivateDatabase", "arn:aws:glue:us-east-1:123456789012:catalog" ] }
除了对资源及其所有原级的权限外,所有删除操作还需要具有该资源的所有子级的权限。例如,要删除一个数据库,您需要具有该数据库中的所有表和用户定义函数的权限,以及该数据库及其所在目录的权限。以下示例显示删除数据目录中的数据库 PrivateDatabase 所需的权限。
{ "Sid": "GrantDeleteDatabase", "Effect": "Allow", "Action": [ "glue:DeleteDatabase" ], "Resource": [ "arn:aws:glue:us-east-1:123456789012:table/PrivateDatabase/*", "arn:aws:glue:us-east-1:123456789012:userDefinedFunction/PrivateDatabase/*", "arn:aws:glue:us-east-1:123456789012:database/PrivateDatabase", "arn:aws:glue:us-east-1:123456789012:catalog" ] }
概括来说,对数据目录资源的操作遵循以下权限规则:
针对目录的操作只需要具有目录的权限。
针对数据库的操作需要具有数据库和目录的权限。
针对数据库的删除操作需要具有数据库和目录的权限,以及数据库中所有表和用户定义函数的权限。
针对表、分区或表版本的操作需要具有表、数据库和目录的权限。
针对用户定义的函数的操作需要具有用户定义的函数、数据库和目录的权限。
针对连接的操作需要具有连接和目录的权限。
Amazon Glue 中非目录对象的 ARN
有些 Amazon Glue 资源允许资源级权限使用 ARN 来控制访问。您可以在 IAM policy 中使用这些 ARN 来启用精细访问控制。下表列出了可以包含资源 ARN 的资源。
| 资源类型 | ARN 格式 |
|---|---|
爬网程序 |
例如: |
任务 |
例如: |
触发器 |
例如: |
开发终端节点 |
例如: |
机器学习转换 |
例如: |
Amazon Glue 非目录单数 API 操作的访问控制
Amazon Glue 非目录单数 API 操作对单个项目(开发终端节点)执行。示例包括 GetDevEndpoint、CreateUpdateDevEndpoint 和 UpdateDevEndpoint。对于这些操作,策略必须将 API 名称放在 "action" 块中,将资源 ARN 放在 "resource" 块中。
假设您要允许用户调用 GetDevEndpoint 操作。以下策略将所需的最低权限授予名为 myDevEndpoint-1 的终端节点。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "MinimumPermissions", "Effect": "Allow", "Action": "glue:GetDevEndpoint", "Resource": "arn:aws:glue:us-east-1:123456789012:devEndpoint/myDevEndpoint-1" } ] }
以下策略允许 UpdateDevEndpoint 访问用通配符 (*) 与 myDevEndpoint- 匹配的资源。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PermissionWithWildcard", "Effect": "Allow", "Action": "glue:UpdateDevEndpoint", "Resource": "arn:aws:glue:us-east-1:123456789012:devEndpoint/myDevEndpoint-*" } ] }
您可以合并两个策略,如以下示例所示。您可能会看到名称以 A 开头的任何开发终端节点的 EntityNotFoundException。不过,当您尝试访问其他开发终端节点时,将返回一个访问被拒绝错误。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CombinedPermissions", "Effect": "Allow", "Action": [ "glue:UpdateDevEndpoint", "glue:GetDevEndpoint" ], "Resource": "arn:aws:glue:us-east-1:123456789012:devEndpoint/A*" } ] }
检索多个项目的 Amazon Glue 非目录 API 操作的访问控制
有些 Amazon Glue API 操作检索多个项目(如多个开发终端节点);例如,GetDevEndpoints。对于此操作,您可以仅指定通配符 (*) 资源,而不是特定的 ARN。
例如,要在策略中包含 GetDevEndpoints,资源的范围必须限定为通配符 (*)。单数操作(GetDevEndpoint、CreateDevEndpoint 和 DeleteDevendpoint)的范围也确定为示例中的所有 (*) 资源。
{ "Sid": "PluralAPIIncluded", "Effect": "Allow", "Action": [ "glue:GetDevEndpoints", "glue:GetDevEndpoint", "glue:CreateDevEndpoint", "glue:UpdateDevEndpoint" ], "Resource": [ "*" ] }
Amazon Glue 非目录 BatchGet API 操作的访问控制
有些 Amazon Glue API 操作检索多个项目(如多个开发终端节点);例如,BatchGetDevEndpoints。对于此操作,您可以指定一个 ARN 来限制可访问的资源的范围。
例如,要允许访问特定的开发终端节点,请将 BatchGetDevEndpoints 及其资源 ARN 包含在策略中。
{ "Sid": "BatchGetAPIIncluded", "Effect": "Allow", "Action": [ "glue:BatchGetDevEndpoints" ], "Resource": [ "arn:aws:glue:us-east-1:123456789012:devEndpoint/de1" ] }
利用此策略,您可以成功访问名为 de1 的开发终端节点。但是,如果您尝试访问名为 de2 的开发终端节点,则会返回错误。
An error occurred (AccessDeniedException) when calling the BatchGetDevEndpoints operation: No access to any requested resource.
重要
有关设置 IAM policy 的替代方法(例如,使用 List 和 BatchGet API 操作),请参阅适用于 Amazon Glue 的基于身份的策略示例。