AmazonAmazon Glue 的托管策略 - Amazon Glue
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AmazonAmazon Glue 的托管策略

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Service 的 API 操作时更新 Amazon 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon 的托管(预定义)策略 Amazon Glue

Amazon 通过提供由创建和管理的独立 IAM 策略来解决许多常见用例 Amazon。这些 Amazon 托管策略为常见用例授予必要的权限,这样您就可以不必调查需要哪些权限。有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

您可以将以下 Amazon 托管策略附加到账户中的身份,这些策略特定于用例场景,Amazon Glue并按用例场景进行分组:

  • AWSGlueConsoleFullAccess— 当策略所关联的身份使用时,授予对Amazon Glue资源的完全访问权限 Amazon Web Services Management Console。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此策略通常附加到 Amazon Glue 控制台的用户。

  • AWSGlueServiceRole— 授予访问代表您运行各种Amazon Glue进程所需的资源的权限。这些资源包括 Amazon Glue Amazon S3、IAM、 CloudWatch 日志和亚马逊 EC2。如果您遵循此策略中指定的资源的命名约定,则 Amazon Glue 进程具有所需的权限。此策略通常附加到在定义爬网程序、作业和开发终端节点时指定的角色。

  • AwsGlueSessionUserRestrictedServiceRole— 提供对除会话之外的所有Amazon Glue资源的完全访问权限。允许用户仅创建和使用与用户关联的交互式会话。此策略包括管理其他 Amazon 服务中的Amazon Glue资源所需的其他权限。Amazon Glue该策略还允许为其他 Amazon 服务中的Amazon Glue资源添加标签。

    注意

    若要完全实现安全益处,请勿将此策略授予分配到 AWSGlueServiceRoleAWSGlueConsoleFullAccessAWSGlueConsoleSageMakerNotebookFullAccess 策略的用户。

  • AwsGlueSessionUserRestrictedPolicy— 仅当提供了与工作负责人的 Amazon 用户 ID 匹配的标签密钥 “owner” 和值时,才允许使用 CreateSession API 操作创建Amazon Glue交互式会话。此身份策略已附上调用 CreateSession API 操作的 IAM用户。此政策还允许受让人与使用与其 Amazon 用户 ID 匹配的 “所有者” 标签和值创建的Amazon Glue交互式会话资源进行交互。此策略拒绝在创建会话后从 Amazon Glue 会话资源中更改或删除“拥有者”标签的权限。

    注意

    若要完全实现安全益处,请勿将此策略授予分配到 AWSGlueServiceRoleAWSGlueConsoleFullAccessAWSGlueConsoleSageMakerNotebookFullAccess 策略的用户。

  • AwsGlueSessionUserRestrictedNotebookServiceRole— 提供对Amazon Glue Studio笔记本会话的足够访问权限,以便与特定的交Amazon Glue互式会话资源进行交互。这些资源是使用 “own Amazon er” 标签值创建的,该值与创建笔记本的委托人(IAM 用户或角色)的用户 ID 相匹配。有关这些标签的更多信息,请参阅 IAM 用户指南中的主体键值图表。

    此服务角色策略将附上使用笔记本中的魔术命令指定的角色,或作为角色传递给 CreateSession API 操作。只有标签键 “所有者” 和值与委托人的 Amazon 用户 ID 相匹配时,该策略还允许委托人从Amazon Glue Studio笔记本界面创建Amazon Glue交互式会话。此策略拒绝在创建会话后从 Amazon Glue 会话资源中更改或删除“拥有者”标签的权限。该策略还包括写入和读取 Amazon S3 存储桶、写入 CloudWatch 日志,以及为所Amazon Glue使用的 Amazon EC2 资源创建和删除标签的权限。

    注意

    若要完全实现安全益处,请勿将此策略授予分配到 AWSGlueServiceRoleAWSGlueConsoleFullAccessAWSGlueConsoleSageMakerNotebookFullAccess 策略的角色。

  • AwsGlueSessionUserRestrictedNotebookPolicy— 只有当标签键 “所有者” 和值与创建Amazon Glue Studio笔记本的委托人(IAM 用户或角色)的 Amazon 用户 ID 相匹配时,才提供从笔记本界面创建Amazon Glue交互式会话的权限。有关这些标签的更多信息,请参阅 IAM 用户指南中的主体键值图表。

    此策略已附上从 Amazon Glue Studio 笔记本界面创建会话的主体(IAM 用户或角色)。此策略还允许对 Amazon Glue Studio 笔记本的充分访问权限,以便与特定的 Amazon Glue 交互式会话资源进行交互。这些资源是使用与委托人的 Amazon 用户 ID 匹配的 “owner” 标签值创建的。此策略拒绝在创建会话后从 Amazon Glue 会话资源中更改或删除“拥有者”标签的权限。

  • AWSGlueServiceNotebookRole— 授予访问在Amazon Glue Studio笔记本中启动的Amazon Glue会话的权限。此政策允许列出和获取所有会话的会话信息,但仅允许用户创建和使用标有其 Amazon 用户 ID 的会话。此政策拒绝向标有其 Amazon ID 的Amazon Glue会话资源中更改或删除 “所有者” 标签的权限。

    将此策略分配给使用中的笔记本界面创建作业的 Amazon 用户Amazon Glue Studio。

  • AWSGlueConsoleSageMakerNotebookFullAccess— 当策略所关联的 Amazon 身份使用时,授予对 Glue 和 SageMaker 资源的完全访问权限 Amazon Web Services Management Console。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此政策通常附加到管理 SageMaker 笔记本Amazon Glue的主机用户。

  • AWSGlueSchemaRegistryFullAccess— 当策略所关联的身份使用 Amazon Web Services Management Console 或时,授予对Amazon Glue架构注册表资源的完全访问权限 Amazon CLI。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此策略通常附加到Amazon Glue控制台用户或管理Amazon Glue架构注册表的 Amazon CLI 用户。

  • AWSGlueSchemaRegistryReadonlyAccess— 当策略所关联的身份使用 Amazon Web Services Management Console 或时,授予对Amazon Glue架构注册表资源的只读访问权限 Amazon CLI。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此策略通常附加到Amazon Glue控制台用户或使用Amazon Glue架构注册表的 Amazon CLI 用户。

注意

您可以通过登录到 IAM 控制台并在该控制台中搜索特定策略来查看这些权限策略。

此外,您还可以创建您自己的自定义 IAM 策略,以授予 Amazon Glue 操作和资源的相关权限。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组。

Amazon Glue 对 Amazon 托管策略的更新

查看自该服务开始跟踪这些更改以来对 Amazon Glue 的 Amazon 托管策略更新的详细信息。要获得有关此页面更改的自动提醒,请在 Amazon Glue 文档历史记录页面上订阅 RSS feed。

更改 描述 日期
AwsGlueSessionUserRestrictedPolicy — 对现有政策的次要更新。 glue:StartCompletionglue:GetCompletion 添加到策略。在 Glue 中集成亚马逊 Q 数据所必 Amazon 需的。 2024年4月30日
AwsGlueSessionUserRestrictedNotebookServiceRole — 对现有政策的次要更新。 glue:StartCompletionglue:GetCompletion 添加到策略。在 Glue 中集成亚马逊 Q 数据所必 Amazon 需的。 2024年4月30日
AwsGlueSessionUserRestrictedServiceRole — 对现有政策的次要更新。 glue:StartCompletionglue:GetCompletion 添加到策略。在 Glue 中集成亚马逊 Q 数据所必 Amazon 需的。 2024年4月30日
AWSGlueServiceNotebookRole — 对现有政策的次要更新。 glue:StartCompletionglue:GetCompletion 添加到策略。在 Glue 中集成亚马逊 Q 数据所必 Amazon 需的。 2024年1月30日
AwsGlueSessionUserRestrictedNotebookPolicy — 对现有政策的次要更新。 glue:StartCompletionglue:GetCompletion 添加到策略。在 Glue 中集成亚马逊 Q 数据所必 Amazon 需的。 2023 年 11 月 29 日
AWSGlueServiceNotebookRole — 对现有政策的次要更新。 为策略添加 codewhisperer:GenerateRecommendations。Glue 生成 CodeWhisperer 推荐的新功能 Amazon 所必需的。 2023 年 10 月 9 日

AWSGlueServiceRole — 对现有政策的次要更新。

收紧 CloudWatch 权限范围以更好地反映 Amazon Glue 日志。 2023 年 8 月 4 日

AWSGlueConsoleFullAccess — 对现有政策的次要更新。

向策略添加 databrew 配方列表和描述权限。需要为 Amazon Glue 可以访问配方的新功能提供完全的管理权限。 2023 年 5 月 9 日

AWSGlueConsoleFullAccess — 对现有政策的次要更新。

为策略添加 cloudformation:ListStacks。更改 Amazon CloudFormation 授权要求后保留现有功能。 2023 年 3 月 28 日

为交互式会话功能添加了新的托管策略

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRole

  • AwsGlueSessionUserRestrictedNotebookPolicy

这些策略旨在为 Amazon Glue Studio 中的交互式会话和笔记本提供额外的安全性。这些策略会限制对 CreateSession API 操作的访问,使得只有拥有者有权访问。

2021 年 11 月 30 日

AWSGlueConsoleSageMakerNotebookFullAccess — 更新现有政策。

为以下操作删除了冗余资源 ARN(arn:aws:s3:::aws-glue-*/*):为 Amazon Glue 用于存储脚本和临时文件的 Amazon S3 存储桶授予读取/写入权限。

通过将 "StringEquals" 更改为 "ForAnyValue:StringLike" 修复了语法问题,并且在行乱序的每个位置将 "Effect": "Allow" 行移到 "Action": 行之前。

2021 年 7 月 15 日

AWSGlueConsoleFullAccess — 更新现有政策。

为以下操作删除了冗余资源 ARN(arn:aws:s3:::aws-glue-*/*):为 Amazon Glue 用于存储脚本和临时文件的 Amazon S3 存储桶授予读取/写入权限。 2021 年 7 月 15 日

Amazon Glue 已开启跟踪更改

Amazon Glue开始跟踪其 Amazon 托管策略的更改。 2021 年 6 月 10 日