Amazon Glue 的 Amazon 托管策略 - Amazon Glue
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Glue 的 Amazon 托管策略

Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon 托管策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。建议通过定义特定于您的应用场景的客户托管策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新在 Amazon 托管策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Service 启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略

适用于 Amazon Glue 的 Amazon 托管(预定义)策略

Amazon 通过提供由 Amazon 创建和管理的独立 IAM policy 来满足许多常用案例的要求。这些 Amazon 托管策略可针对常用案例授予必要的权限,使您免去调查所需权限的工作。有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

下面的 Amazon 托管策略可附加到您账户中的身份,这些托管策略特定于 Amazon Glue 并且按使用案例场景进行分组:

  • AWSGlueConsoleFullAccess— 当策略所关联的身份使用时,授予对Amazon Glue资源的完全访问权限Amazon Web Services Management Console。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此策略通常附加到 Amazon Glue 控制台的用户。

  • AWSGlueServiceRole— 授予访问代表您运行各种Amazon Glue进程所需的资源的权限。这些资源包括 Amazon Glue Amazon S3、IAM、 CloudWatch 日志和亚马逊 EC2。如果您遵循此策略中指定的资源的命名约定,则 Amazon Glue 进程具有所需的权限。此策略通常附加到在定义爬网程序、作业和开发终端节点时指定的角色。

  • AwsGlueSessionUserRestrictedServiceRole— 提供对除会话之外的所有Amazon Glue资源的完全访问权限。允许用户仅创建和使用与用户关联的交互式会话。此策略包括由 Amazon Glue 管理其他 Amazon 服务中的 Amazon Glue 资源所需的其他权限。此策略还允许向其他 Amazon 服务中的 Amazon Glue 资源添加标签。

    注意

    若要完全实现安全益处,请勿将此策略授予分配到 AWSGlueServiceRoleAWSGlueConsoleFullAccessAWSGlueConsoleSageMakerNotebookFullAccess 策略的用户。

  • AwsGlueSessionUserRestrictedPolicy— 仅当提供了与工作负责人的Amazon用户 ID 匹配的标签密钥 “owner” 和值时,才提供使用 CreateSession API 操作创建Amazon Glue交互式会话的权限。此身份策略已附上调用 CreateSession API 操作的 IAM用户。此策略还允许受让人与使用和其 Amazon 用户 ID 匹配的“拥有者”标签和值创建的 Amazon Glue 交互式会话资源进行交互。此策略拒绝在创建会话后从 Amazon Glue 会话资源中更改或删除“拥有者”标签的权限。

    注意

    若要完全实现安全益处,请勿将此策略授予分配到 AWSGlueServiceRoleAWSGlueConsoleFullAccessAWSGlueConsoleSageMakerNotebookFullAccess 策略的用户。

  • AwsGlueSessionUserRestrictedNotebookService角色-提供对Amazon Glue Studio笔记本会话的足够访问权限,以便与特定的交Amazon Glue互式会话资源进行交互。这些是使用与创建笔记本的主体(IAM 用户或角色)的 Amazon 用户 ID 匹配的“拥有者”标签值创建的资源。有关这些标签的更多信息,请参阅 IAM 用户指南中的主体键值图表。

    此服务角色策略将附上使用笔记本中的魔术命令指定的角色,或作为角色传递给 CreateSession API 操作。此策略还允许主体仅当标签键“拥有者”和值与主体的 Amazon 用户 ID 匹配时,才从 Amazon Glue Studio 笔记本界面创建 Amazon Glue 交互式会话。此策略拒绝在创建会话后从 Amazon Glue 会话资源中更改或删除“拥有者”标签的权限。该策略还包括写入和读取 Amazon S3 存储桶、写入 CloudWatch 日志,以及为所Amazon Glue使用的 Amazon EC2 资源创建和删除标签的权限。

    注意

    若要完全实现安全益处,请勿将此策略授予分配到 AWSGlueServiceRoleAWSGlueConsoleFullAccessAWSGlueConsoleSageMakerNotebookFullAccess 策略的角色。

  • AwsGlueSessionUserRestrictedNotebookPolicy— 只有当标签键 “所有者” 和值与创建Amazon Glue Studio笔记本的委托人(IAM 用户或角色)的Amazon用户 ID 相匹配时,才提供从笔记本界面创建Amazon Glue交互式会话的权限。有关这些标签的更多信息,请参阅 IAM 用户指南中的主体键值图表。

    此策略已附上从 Amazon Glue Studio 笔记本界面创建会话的主体(IAM 用户或角色)。此策略还允许对 Amazon Glue Studio 笔记本的充分访问权限,以便与特定的 Amazon Glue 交互式会话资源进行交互。这些是使用与主体的 Amazon 用户 ID 匹配的“拥有者”标签值创建的资源。此策略拒绝在创建会话后从 Amazon Glue 会话资源中更改或删除“拥有者”标签的权限。

  • AWSGlueServiceNotebookRole— 授予访问在Amazon Glue Studio笔记本中启动的Amazon Glue会话的权限。此策略允许列出和获取所有会话的会话信息,但仅允许用户创建和使用标记为其 Amazon 用户 ID 的会话。此策略会拒绝从标记为其 Amazon ID 的 Amazon Glue 会话资源中更改或删除“拥有者”标签的权限。

    将此策略分配给使用 Amazon Glue Studio 中的笔记本界面创建任务的 Amazon 用户。

  • AWSGlueConsoleSageMakerNotebookFullAccess— 当策略所关联的Amazon身份使用时,授予对 Glue 和 SageMaker 资源的完全访问权限Amazon Web Services Management Console。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此政策通常附加到管理 SageMaker 笔记本Amazon Glue的主机用户。

  • AWSGlueSchemaRegistryFullAccess— 当策略所关联的身份使用Amazon Web Services Management Console或时,授予对 Amazon Glue Schema Registry 资源的完全访问权限Amazon CLI。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此策略通常附加到管理 Amazon Glue 架构注册表的 Amazon Glue 控制台或 Amazon CLI 的用户。

  • AWSGlueSchemaRegistryReadonlyAccess— 当策略所关联的身份使用Amazon Web Services Management Console或时,授予对 Amazon Glue Schema Registry 资源的只读访问权限Amazon CLI。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此策略通常附加到使用 Amazon Glue 架构注册表的 Amazon Glue 控制台或 Amazon CLI 的用户。

注意

您可以通过登录到 IAM 控制台并在该控制台中搜索特定策略来查看这些权限策略。

此外,您还可以创建您自己的自定义 IAM 策略,以授予 Amazon Glue 操作和资源的相关权限。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组。

Amazon Glue 对 Amazon 托管策略的更新

查看有关 Amazon Glue 的 Amazon 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Amazon Glue 文档历史记录页面上的 RSS 源。

更改 描述 日期
AWSGlueServiceNotebookRole — 对现有政策的次要更新。 glue:StartCompletionglue:GetCompletion 添加到策略。在 Glue 中集成亚马逊 Q 数据所必Amazon需的。 待定
AwsGlueSessionUserRestrictedNotebookPolicy — 对现有政策的次要更新。 glue:StartCompletionglue:GetCompletion 添加到策略。在 Glue 中集成亚马逊 Q 数据所必Amazon需的。 2023 年 11 月 29 日
AWSGlueServiceNotebookRole — 对现有政策的次要更新。 为策略添加 codewhisperer:GenerateRecommendations。Glue 生成 CodeWhisperer 推荐的新功能Amazon所必需的。 2023 年 10 月 9 日

AWSGlueServiceRole — 对现有政策的次要更新。

收紧 CloudWatch 权限范围以更好地反映 Amazon Glue 日志。 2023 年 8 月 4 日

AWSGlueConsoleFullAccess — 对现有政策的次要更新。

向策略添加 databrew 配方列表和描述权限。需要为 Amazon Glue 可以访问配方的新功能提供完全的管理权限。 2023 年 5 月 9 日

AWSGlueConsoleFullAccess — 对现有政策的次要更新。

为策略添加 cloudformation:ListStacks。Amazon CloudFormation 授权要求变更后保留现有功能。 2023 年 3 月 28 日

为交互式会话功能添加了新的托管策略

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookService角色

  • AwsGlueSessionUserRestrictedNotebookPolicy

这些策略旨在为 Amazon Glue Studio 中的交互式会话和笔记本提供额外的安全性。这些策略会限制对 CreateSession API 操作的访问,使得只有拥有者有权访问。

2021 年 11 月 30 日

AWSGlueConsoleSageMakerNotebookFullAccess — 更新现有政策。

为以下操作删除了冗余资源 ARN(arn:aws:s3:::aws-glue-*/*):为 Amazon Glue 用于存储脚本和临时文件的 Amazon S3 存储桶授予读取/写入权限。

通过将 "StringEquals" 更改为 "ForAnyValue:StringLike" 修复了语法问题,并且在行乱序的每个位置将 "Effect": "Allow" 行移到 "Action": 行之前。

2021 年 7 月 15 日

AWSGlueConsoleFullAccess — 更新现有政策。

为以下操作删除了冗余资源 ARN(arn:aws:s3:::aws-glue-*/*):为 Amazon Glue 用于存储脚本和临时文件的 Amazon S3 存储桶授予读取/写入权限。 2021 年 7 月 15 日

Amazon Glue 已开启跟踪更改

Amazon Glue 为其 Amazon 托管式策略开启了跟踪更改。 2021 年 6 月 10 日