AWS Glue 的操作、资源和条件键 - 服务授权参考
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Glue 的操作、资源和条件键

AWS Glue(服务前缀:glue)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS Glue 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
BatchCreatePartition 授予权限以创建一个或多个分区 写入

catalog*

database*

table*

BatchDeleteConnection 授予权限以删除一个或多个连接 写入

catalog*

connection*

BatchDeletePartition 授予权限以删除一个或多个分区 写入

catalog*

database*

table*

BatchDeleteTable 授予权限以删除一个或多个表 写入

catalog*

database*

table*

BatchDeleteTableVersion 授予权限以删除表的一个或多个版本 写入

catalog*

database*

table*

tableversion*

BatchGetCrawlers 授予权限以检索一个或多个爬网程序 Read
BatchGetDevEndpoints 授予权限以检索一个或多个开发终端节点 Read
BatchGetJobs 授予权限以检索一个或多个作业 Read
BatchGetPartition 授予权限以检索一个或多个分区 Read

catalog*

database*

table*

BatchGetTriggers 授予权限以检索一个或多个触发器 Read
BatchGetWorkflows 授予权限以检索一个或多个工作流程 Read
BatchStopJobRun 授予权限以停止作业的一个或多个作业运行 写入
CancelMLTaskRun 授予权限以停止正在运行的 ML 任务运行 写入

mlTransform*

CheckSchemaVersionValidity 授予检索架构版本有效性检查的权限 Read
CreateClassifier 授予权限以创建分类器 写入
CreateConnection 授予权限以创建连接 写入

catalog*

connection*

CreateCrawler 授予权限以创建爬网程序 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDatabase 授予权限以创建数据库 写入

catalog*

database*

CreateDevEndpoint 授予权限以创建开发终端节点 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateJob 授予权限以创建作业 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMLTransform 授予权限以创建 ML 转换 写入
CreatePartition 授予权限以创建分区 写入

catalog*

database*

table*

CreateRegistry 授予创建新架构注册表的权限 写入

registry*

CreateSchema 授予创建新架构容器的权限 写入

registry*

schema*

CreateScript 授予权限以创建脚本 写入
CreateSecurityConfiguration 授予权限以创建安全配置 写入
CreateTable 授予权限以创建表 写入

catalog*

database*

table*

CreateTrigger 授予权限以创建触发器 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUserDefinedFunction 授予权限以创建函数定义 写入

catalog*

database*

userdefinedfunction*

CreateWorkflow 授予权限以创建工作流程 写入

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteClassifier 授予权限以删除分类器 写入
DeleteConnection 授予权限以删除连接 写入

catalog*

connection*

DeleteCrawler 授予权限以删除爬网程序 写入
DeleteDatabase 授予权限以删除数据库 写入

catalog*

database*

DeleteDevEndpoint 授予权限以删除开发终端节点 写入
DeleteJob 授予权限以删除作业 写入
DeleteMLTransform 授予权限以删除 ML 转换 写入

mlTransform*

DeletePartition 授予权限以删除分区 写入

catalog*

database*

table*

DeleteRegistry 授予删除架构注册表的权限 写入

registry*

DeleteResourcePolicy 授予权限以删除资源策略 权限管理

catalog*

DeleteSchema 授予删除架构容器的权限 写入

registry*

schema*

DeleteSchemaVersions 授予删除一系列架构版本的权限 写入

registry*

schema*

DeleteSecurityConfiguration 授予权限以删除安全配置 写入
DeleteTable 授予权限以删除表 写入

catalog*

database*

table*

DeleteTableVersion 授予权限以删除表版本 写入

catalog*

database*

table*

tableversion*

DeleteTrigger 授予权限以删除触发器 写入
DeleteUserDefinedFunction 授予权限以删除函数定义 写入

catalog*

database*

userdefinedfunction*

DeleteWorkflow 授予权限以删除工作流程 写入
GetCatalogImportStatus 授予权限以检索目录导入状态 Read

catalog*

GetClassifier 授予权限以检索分类器 Read
GetClassifiers 授予权限以列出所有分类器 Read
GetConnection 授予权限以检索连接 Read

catalog*

connection*

GetConnections 授予权限以检索连接列表 Read

catalog*

connection*

GetCrawler 授予权限以检索爬网程序 Read
GetCrawlerMetrics 授予权限以检索有关爬网程序的指标 Read
GetCrawlers 授予权限以检索所有爬网程序 Read
GetDataCatalogEncryptionSettings 授予权限以检索目录加密设置 Read
GetDatabase 授予权限以检索数据库 Read

catalog*

database*

GetDatabases 授予权限以检索所有数据库 Read

catalog*

database*

GetDataflowGraph 授予权限以将脚本转换为有向无环图 (DAG) Read
GetDevEndpoint 授予权限以检索开发终端节点 Read
GetDevEndpoints 授予权限以检索所有开发终端节点 Read
GetJob 授予权限以检索作业 Read
GetJobBookmark 授予权限以检索作业书签 Read
GetJobRun 授予权限以检索作业运行 Read
GetJobRuns 授予权限以检索作业的所有作业运行 Read
GetJobs 授予权限以检索所有当前作业 Read
GetMLTaskRun 授予权限以检索 ML 任务运行 Read

mlTransform*

GetMLTaskRuns 授予权限以检索所有 ML 任务运行 List

mlTransform*

GetMLTransform 授予权限以检索 ML 转换 Read

mlTransform*

GetMLTransforms 授予权限以检索所有 ML 转换 List
GetMapping 授予权限以创建映射 Read
GetPartition 授予权限以检索分区 Read

catalog*

database*

table*

GetPartitions 授予权限以检索表的分区 Read

catalog*

database*

table*

GetPlan 授予权限以检索脚本映射 Read
GetRegistry 授予检索架构注册表的权限 Read

registry*

GetResourcePolicies 授予检索资源策略的权限 Read

catalog*

GetResourcePolicy 授予权限以检索资源策略 Read

catalog*

GetSchema 授予检索架构容器的权限 Read

registry*

schema*

GetSchemaByDefinition 授予基于架构定义检索架构版本的权限 Read

registry*

schema*

GetSchemaVersion 授予检索架构版本的权限 Read

registry

schema

GetSchemaVersionsDiff 授予对比架构注册表中两个架构版本的权限 Read

registry*

schema*

GetSecurityConfiguration 授予权限以检索安全配置 Read
GetSecurityConfigurations 授予权限以检索一个或多个安全配置 Read
GetTable 授予权限以检索表 Read

catalog*

database*

table*

GetTableVersion 授予权限以检索表版本 Read

catalog*

database*

table*

tableversion*

GetTableVersions 授予权限以检索表版本列表 Read

catalog*

database*

table*

tableversion*

GetTables 授予权限以检索数据库中的表 Read

catalog*

database*

table*

GetTags 授予权限以检索与资源关联的所有标签 Read

crawler

devendpoint

job

trigger

workflow

GetTrigger 授予权限以检索触发器 Read
GetTriggers 授予权限以检索与作业关联的触发器 Read
GetUserDefinedFunction 授予权限以检索函数定义。 Read

catalog*

database*

userdefinedfunction*

GetUserDefinedFunctions 授予权限以检索多个函数定义 Read

catalog*

database*

userdefinedfunction*

GetWorkflow 授予权限以检索工作流程 Read
GetWorkflowRun 授予权限以检索工作流程运行 Read
GetWorkflowRunProperties 授予权限以检索工作流程运行属性 Read
GetWorkflowRuns 授予权限以检索工作流程的所有运行 Read
ImportCatalogToGlue 授予权限以将 Athena 数据目录导入到 AWS Glue 中 写入

catalog*

ListCrawlers 授予权限以检索所有爬网程序 List
ListDevEndpoints 授予权限以检索所有开发终端节点 List
ListJobs 授予权限以检索所有当前作业 List
ListMLTransforms 授予权限以检索所有 ML 转换 List
ListRegistries 授予检索架构注册表列表的权限 List
ListSchemaVersions 授予检索架构版本列表的权限 List

registry*

schema*

ListSchemas 授予检索架构容器列表的权限 List

registry

ListTriggers 授予权限以检索所有触发器 List
ListWorkflows 授予权限以检索所有工作流程 List
PutDataCatalogEncryptionSettings 授予权限以更新目录加密设置 写入
PutResourcePolicy 授予权限以更新资源策略 权限管理

catalog*

PutSchemaVersionMetadata 授予向架构版本添加元数据的权限 写入

registry

schema

PutWorkflowRunProperties 授予权限以更新工作流程运行属性 写入
QuerySchemaVersionMetadata 授予获取架构版本元数据的权限 List

registry

schema

RegisterSchemaVersion 授予创建新架构版本的权限 写入

registry*

schema*

RemoveSchemaVersionMetadata 授予从架构版本中删除元数据的权限 写入

registry

schema

ResetJobBookmark 授予权限以重置作业书签 写入
ResumeWorkflowRun 授予权限以恢复工作流程运行 写入
SearchTables 授予权限以检索目录中的表 Read

catalog*

database*

table*

StartCrawler 授予权限以启动爬网程序 写入
StartCrawlerSchedule 授予权限以将爬网程序的计划状态更改为 SCHEDULED 写入
StartExportLabelsTaskRun 授予权限以启动导出标签 ML 任务运行 写入

mlTransform*

StartImportLabelsTaskRun 授予权限以启动导入标签 ML 任务运行 写入

mlTransform*

StartJobRun 授予权限以开始运行作业 写入
StartMLEvaluationTaskRun 授予权限以启动评估 ML 任务运行 写入

mlTransform*

StartMLLabelingSetGenerationTaskRun 授予权限以启动标签集生成 ML 任务运行 写入

mlTransform*

StartTrigger 授予权限以启动触发器 写入
StartWorkflowRun 授予权限以开始运行工作流程 写入
StopCrawler 授予权限以停止运行的爬网程序 写入
StopCrawlerSchedule 授予权限以将爬网程序的计划状态设置为 NOT_SCHEDULED 写入
StopTrigger 授予权限以停止触发器 写入
StopWorkflowRun 授予权限以停止工作流程运行 写入
TagResource 授予权限以将标签添加到资源中 标记

crawler

devendpoint

job

trigger

workflow

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource 授予权限以删除与资源关联的标签 标记

crawler

devendpoint

job

trigger

workflow

aws:TagKeys

UpdateClassifier 授予权限以更新分类器 写入
UpdateConnection 授予权限以更新连接 写入

catalog*

connection*

UpdateCrawler 授予权限以更新爬网程序 写入
UpdateCrawlerSchedule 授予权限以更新爬网程序的计划 写入
UpdateDatabase 授予权限以更新数据库 写入

catalog*

database*

UpdateDevEndpoint 授予权限以更新开发终端节点 写入
UpdateJob 授予权限以更新作业 写入
UpdateMLTransform 授予权限以更新 ML 转换 写入

mlTransform*

UpdatePartition 授予权限以更新分区 写入

catalog*

database*

table*

UpdateRegistry 授予更新架构注册表的权限 写入

registry*

UpdateSchema 授予更新架构容器的权限 写入

registry*

schema*

UpdateTable 授予权限以更新表 写入

catalog*

database*

table*

UpdateTrigger 授予权限以更新触发器 写入
UpdateUserDefinedFunction 授予权限以更新函数定义 写入

catalog*

database*

userdefinedfunction*

UpdateWorkflow 授予权限以更新工作流程 写入
UseMLTransforms 授予权限以从 Glue ETL 脚本中使用 ML 转换 写入

mlTransform*

AWS Glue 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
catalog arn:${Partition}:glue:${Region}:${Account}:catalog
database arn:${Partition}:glue:${Region}:${Account}:database/${DatabaseName}
table arn:${Partition}:glue:${Region}:${Account}:table/${DatabaseName}/${TableName}
tableversion arn:${Partition}:glue:${Region}:${Account}:tableVersion/${DatabaseName}/${TableName}/${TableVersionName}
connection arn:${Partition}:glue:${Region}:${Account}:connection/${ConnectionName}
userdefinedfunction arn:${Partition}:glue:${Region}:${Account}:userDefinedFunction/${DatabaseName}/${UserDefinedFunctionName}
devendpoint arn:${Partition}:glue:${Region}:${Account}:devEndpoint/${DevEndpointName}

aws:ResourceTag/${TagKey}

job arn:${Partition}:glue:${Region}:${Account}:job/${JobName}

aws:ResourceTag/${TagKey}

trigger arn:${Partition}:glue:${Region}:${Account}:trigger/${TriggerName}

aws:ResourceTag/${TagKey}

crawler arn:${Partition}:glue:${Region}:${Account}:crawler/${CrawlerName}

aws:ResourceTag/${TagKey}

workflow arn:${Partition}:glue:${Region}:${Account}:workflow/${WorkflowName}

aws:ResourceTag/${TagKey}

mlTransform arn:${Partition}:glue:${Region}:${Account}:mlTransform/${TransformId}

aws:ResourceTag/${TagKey}

registry arn:${Partition}:glue:${Region}:${Account}:registry/${RegistryName}

aws:ResourceTag/${TagKey}

schema arn:${Partition}:glue:${Region}:${Account}:schema/${SchemaName}

aws:ResourceTag/${TagKey}

AWS Glue 的条件键

AWS Glue 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中是否具有标签键值对以筛选操作 字符串
aws:ResourceTag/${TagKey} 根据附加到资源的标签键值对筛选操作 字符串
aws:TagKeys 根据在请求中是否具有标签键以筛选操作 字符串