本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予 Amazon Glue 的 Amazon 托管式策略
Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。
您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Services 服务 启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。
有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
适用于 Amazon Glue 的 Amazon 托管(预定义)策略
Amazon 通过提供由 Amazon 创建和管理的独立 IAM policy 来满足许多常用案例的要求。这些 Amazon 托管策略可针对常用案例授予必要的权限,使您免去调查所需权限的工作。有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
下面的 Amazon 托管策略可附加到您账户中的身份,这些托管策略特定于 Amazon Glue 并且按使用案例场景进行分组:
-
AWSGlueConsoleFullAccess
:当策略所附加的身份使用 Amazon Web Services Management Console 资源时,授予对 Amazon Glue 资源的完全访问权限。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此策略通常附加到 Amazon Glue 控制台的用户。 -
AWSGlueServiceRole
– 授予对各种 Amazon Glue 进程代表您运行所需的资源的访问权限。这些资源包括 Amazon Glue、Amazon S3、IAM、CloudWatch Logs 和 Amazon EC2。如果您遵循此策略中指定的资源的命名约定,则 Amazon Glue 进程具有所需的权限。此策略通常附加到在定义爬网程序、作业和开发终端节点时指定的角色。 -
AwsGlueSessionUserRestrictedServiceRole
– 提供对除会话之外的所有 Amazon Glue 资源的完全访问权限。允许用户仅创建和使用与用户关联的交互式会话。此策略包括由 Amazon Glue 管理其他 Amazon 服务中的 Amazon Glue 资源所需的其他权限。此策略还允许向其他 Amazon 服务中的 Amazon Glue 资源添加标签。 注意
若要完全实现安全益处,请勿将此策略授予分配到
AWSGlueServiceRole
、AWSGlueConsoleFullAccess
或AWSGlueConsoleSageMakerNotebookFullAccess
策略的用户。 -
AwsGlueSessionUserRestrictedPolicy
:仅当提供的标签键“拥有者”和值与受让人的 Amazon Glue 用户 ID 匹配时,才提供使用 CreateSession
API 操作创建 Amazon 交互式会话的访问权限。此身份策略已附上调用CreateSession
API 操作的 IAM用户。此策略还允许受让人与使用和其 Amazon 用户 ID 匹配的“拥有者”标签和值创建的 Amazon Glue 交互式会话资源进行交互。此策略拒绝在创建会话后从 Amazon Glue 会话资源中更改或删除“拥有者”标签的权限。注意
若要完全实现安全益处,请勿将此策略授予分配到
AWSGlueServiceRole
、AWSGlueConsoleFullAccess
或AWSGlueConsoleSageMakerNotebookFullAccess
策略的用户。 -
AwsGlueSessionUserRestrictedNotebookServiceRole
:提供足够的 Amazon Glue Studio 笔记本会话访问权限,以便与特定的 Amazon Glue 交互式会话资源进行交互。这些是使用与创建笔记本的主体(IAM 用户或角色)的 Amazon 用户 ID 匹配的“拥有者”标签值创建的资源。有关这些标签的更多信息,请参阅 IAM 用户指南中的主体键值图表。 此服务角色策略将附上使用笔记本中的魔术命令指定的角色,或作为角色传递给
CreateSession
API 操作。此策略还允许主体仅当标签键“拥有者”和值与主体的 Amazon 用户 ID 匹配时,才从 Amazon Glue Studio 笔记本界面创建 Amazon Glue 交互式会话。此策略拒绝在创建会话后从 Amazon Glue 会话资源中更改或删除“拥有者”标签的权限。此策略还包括写入和读取 Amazon S3 存储桶、写入 CloudWatch 日志和为 Amazon Glue 使用的 Amazon EC2 资源创建和删除标签的权限。注意
若要完全实现安全益处,请勿将此策略授予分配到
AWSGlueServiceRole
、AWSGlueConsoleFullAccess
或AWSGlueConsoleSageMakerNotebookFullAccess
策略的角色。 -
AwsGlueSessionUserRestrictedNotebookPolicy
:仅当存在标签键“拥有者”和值与创建笔记本的主体(IAM 用户或角色)的 Amazon 用户 ID 匹配时,才提供从 Amazon Glue Studio 笔记本界面创建 Amazon Glue 交互式会话的访问权限。有关这些标签的更多信息,请参阅 IAM 用户指南中的主体键值图表。 此策略已附上从 Amazon Glue Studio 笔记本界面创建会话的主体(IAM 用户或角色)。此策略还允许对 Amazon Glue Studio 笔记本的充分访问权限,以便与特定的 Amazon Glue 交互式会话资源进行交互。这些是使用与主体的 Amazon 用户 ID 匹配的“拥有者”标签值创建的资源。此策略拒绝在创建会话后从 Amazon Glue 会话资源中更改或删除“拥有者”标签的权限。
-
AWSGlueServiceNotebookRole
:授予对 Amazon Glue Studio 笔记本中开启的 Amazon Glue 会话的访问权限。此策略允许列出和获取所有会话的会话信息,但仅允许用户创建和使用标记为其 Amazon 用户 ID 的会话。此策略会拒绝从标记为其 Amazon ID 的 Amazon Glue 会话资源中更改或删除“拥有者”标签的权限。 将此策略分配给使用 Amazon Glue Studio 中的笔记本界面创建任务的 Amazon 用户。
-
AWSGlueConsoleSageMakerNotebookFullAccess
:在策略所附加的身份使用 Amazon Web Services Management Console 时,授予对 Amazon Glue 和 SageMaker 资源的完全访问权限。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此策略通常附加到管理 SageMaker 笔记本的 Amazon Glue 控制台的用户。 -
AWSGlueSchemaRegistryFullAccess
:在策略所附加的身份使用 Amazon Web Services Management Console 或 Amazon CLI 时,授予对 Amazon Glue 架构注册表资源的完全访问权限。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此策略通常附加到管理 Amazon Glue 架构注册表的 Amazon Glue 控制台或 Amazon CLI 的用户。 -
AWSGlueSchemaRegistryReadonlyAccess
:在策略附加到的身份使用 Amazon Web Services Management Console 或 Amazon CLI 时,授予对 Amazon Glue 架构注册表资源的只读访问权限。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此策略通常附加到使用 Amazon Glue 架构注册表的 Amazon Glue 控制台或 Amazon CLI 的用户。
注意
您可以通过登录到 IAM 控制台并在该控制台中搜索特定策略来查看这些权限策略。
此外,您还可以创建您自己的自定义 IAM 策略,以授予 Amazon Glue 操作和资源的相关权限。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组。
Amazon Glue 对 Amazon 托管策略的更新
查看有关 Amazon Glue 的 Amazon 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Amazon Glue 文档历史记录页面上的 RSS 源。
更改 | 描述 | 日期 |
---|---|---|
AwsGlueSessionUserRestrictedNotebookPolicy – 对现有策略的次要更新。 | 添加允许对拥有者标签键执行 glue:TagResource 操作。对于具备拥有者标签键的会话,需要支持创建时加上标签功能。 |
2024 年 8 月 30 日 |
AwsGlueSessionUserRestrictedNotebookServiceRole – 对现有策略的次要更新。 | 添加允许对拥有者标签键执行 glue:TagResource 操作。对于具备拥有者标签键的会话,需要支持创建时加上标签功能。 |
2024 年 8 月 30 日 |
AwsGlueSessionUserRestrictedPolicy – 对现有策略的次要更新。 | 添加允许对拥有者标签键执行 glue:TagResource 操作。对于具备拥有者标签键的会话,需要支持创建时加上标签功能。 |
2024 年 8 月 5 日 |
AwsGlueSessionUserRestrictedServiceRole – 对现有策略的次要更新。 | 添加允许对拥有者标签键执行 glue:TagResource 操作。对于具备拥有者标签键的会话,需要支持创建时加上标签功能。 |
2024 年 8 月 5 日 |
AwsGlueSessionUserRestrictedPolicy – 对现有策略的次要更新。 | 将 glue:StartCompletion 和 glue:GetCompletion 添加到策略。对于 Amazon Glue 中的 Amazon Q 集成为必需。 |
2024 年 4 月 30 日 |
AwsGlueSessionUserRestrictedNotebookServiceRole – 对现有策略的次要更新。 | 将 glue:StartCompletion 和 glue:GetCompletion 添加到策略。对于 Amazon Glue 中的 Amazon Q 集成为必需。 |
2024 年 4 月 30 日 |
AwsGlueSessionUserRestrictedServiceRole – 对现有策略的次要更新。 | 将 glue:StartCompletion 和 glue:GetCompletion 添加到策略。对于 Amazon Glue 中的 Amazon Q 集成为必需。 |
2024 年 4 月 30 日 |
AWSGlueServiceNotebookRole – 对现有策略的微小更新。 | 将 glue:StartCompletion 和 glue:GetCompletion 添加到策略。对于 Amazon Glue 中的 Amazon Q 集成为必需。 |
2024 年 1 月 30 日 |
AwsGlueSessionUserRestrictedNotebookPolicy – 对现有策略的次要更新。 | 将 glue:StartCompletion 和 glue:GetCompletion 添加到策略。对于 Amazon Glue 中的 Amazon Q 集成为必需。 |
2023 年 11 月 29 日 |
AWSGlueServiceNotebookRole – 对现有策略的微小更新。 | 为策略添加 codewhisperer:GenerateRecommendations 。Amazon Glue 生成 CodeWhisperer 推荐所用新功能所必需的。 |
2023 年 10 月 9 日 |
AWSGlueServiceRole – 对现有策略的微小更新。 |
收紧 CloudWatch 权限的范围,以更好地反映 Amazon Glue 日志记录。 | 2023 年 8 月 4 日 |
AWSGlueConsoleFullAccess:对现有策略的微小更新。 |
向策略添加 databrew 配方列表和描述权限。需要为 Amazon Glue 可以访问配方的新功能提供完全的管理权限。 |
2023 年 5 月 9 日 |
AWSGlueConsoleFullAccess:对现有策略的微小更新。 |
为策略添加 cloudformation:ListStacks 。Amazon CloudFormation 授权要求变更后保留现有功能。 |
2023 年 3 月 28 日 |
为交互式会话功能添加了新的托管策略
|
这些策略旨在为 Amazon Glue Studio 中的交互式会话和笔记本提供额外的安全性。这些策略会限制对 |
2021 年 11 月 30 日 |
AWSGlueConsoleSageMakerNotebookFullAccess:对现有策略的更新 |
为以下操作删除了冗余资源 ARN( 通过将 |
2021 年 7 月 15 日 |
AWSGlueConsoleFullAccess:对现有策略的更新 |
为以下操作删除了冗余资源 ARN(arn:aws:s3:::aws-glue-*/* ):为 Amazon Glue 用于存储脚本和临时文件的 Amazon S3 存储桶授予读取/写入权限。 |
2021 年 7 月 15 日 |
Amazon Glue 已开启跟踪更改 |
Amazon Glue 为其 Amazon 托管式策略开启了跟踪更改。 | 2021 年 6 月 10 日 |