Erforderliche IAM-Berechtigungen für den AWS Glue Studio-Benutzer überprüfen - AWS Glue
AWS Glue-Service-BerechtigungenErstellen benutzerdefinierter IAM-Richtlinien für AWS Glue Studio Zugriff auf AWS Glue Studio-APIs Berechtigungen für Notebook und DatenvorschauAmazon CloudWatch-Berechtigungen

Erforderliche IAM-Berechtigungen für den AWS Glue Studio-Benutzer überprüfen

Um AWS Glue Studio verwenden zu können, benötigt der Benutzer Zugriff auf verschiedene AWS-Ressourcen. Der Benutzer muss Amazon-S3-Buckets, IAM-Richtlinien und -Rollen sowie AWS Glue Data Catalog-Objekte anzeigen und auswählen können.

AWS Glue-Service-Berechtigungen

AWS Glue Studio verwendet die Aktionen und Ressourcen des AWS Glue-Services. Ihr Benutzer benötigt Berechtigungen für diese Aktionen und Ressourcen, um AWS Glue Studio sinnvoll verwenden zu können. Sie können für den AWS Glue Studio-Benutzer die verwaltete Richtlinie AWSGlueConsoleFullAccess aktivieren oder eine benutzerdefinierte Richtlinie mit weniger Berechtigungen erstellen.

Wichtig

Im Sinne der Sicherheit hat es sich bewährt, den Zugriff auf Amazon-S3-Bucket- und Amazon CloudWatch-Protokoll-Gruppen durch strengere Richtlinien einzuschränken. Eine Amazon-S3-Beispielrichtlinie finden Sie unter Schreiben von IAM-Richtlinien: So gewähren Sie Zugriff auf einen Amazon-S3-Bucket.

Erstellen benutzerdefinierter IAM-Richtlinien für AWS Glue Studio

Sie können eine benutzerdefinierte Richtlinie mit weniger Berechtigungen für AWS Glue Studio erstellen. Die Richtlinie kann Berechtigungen für eine Teilmenge von Objekten oder Aktionen erteilen. Verwenden Sie die folgenden Informationen, wenn Sie eine benutzerdefinierte Richtlinie erstellen.

Zur Verwendung der AWS Glue Studio-APIs müssen Sie glue:UseGlueStudio in die Aktionsrichtlinie in Ihren IAM-Berechtigungen aufnehmen. Die Verwendung von glue:UseGlueStudio ermöglicht Ihnen den Zugriff auf alle AWS Glue Studio-Aktionen, auch wenn im Laufe der Zeit weitere Aktionen zur API hinzugefügt werden.

Weitere Informationen zu von AWS Glue definierten Aktionen finden Sie unter Von AWS Glue definierte Aktionen.

Aktionen zur Datenvorbereitung und -erstellung

  • SendRecipeAction

  • GetRecipeAction

DAG-Aktionen (Ausgerichtetes azyklisches Diagramm)

  • CreateDag

  • UpdateDag

  • GetDag

  • DeleteDag

Auftragsaktionen

  • SaveJob

  • GetJob

  • CreateJob

  • DeleteJob

  • GetJobs

  • UpdateJob

Aktionen zur Auftragsausführung

  • StartJobRun

  • GetJobRuns

  • BatchStopJobRun

  • GetJobRun

  • QueryJobRuns

  • QueryJobs

  • QueryJobRunsAggregated

Schema-Aktionen

  • GetSchema

  • GetInferredSchema

Datenbank-Aktionen

  • GetDatabases

Plan-Aktionen

  • GetPlan

Tabellen-Aktionen

  • SearchTables

  • GetTables

  • GetTable

Verbindungs-Aktionen

  • CreateConnection

  • DeleteConnection

  • UpdateConnection

  • GetConnections

  • GetConnection

Zuordnungs-Aktionen

  • GetMapping

S3-Proxy-Aktionen

  • ListBuckets

  • ListObjectsV2

  • GetBucketLocation

Sicherheitskonfigurations-Aktionen

  • GetSecurityConfigurations

Skript-Aktionen

  • CreateScript (anders als gleichnamige API in AWS Glue)

Zugriff auf AWS Glue Studio-APIs

Um auf AWS Glue Studio zuzugreifen, fügen Sie glue:UseGlueStudio in der Liste der Aktionsrichtlinien in den IAM-Berechtigungen hinzu.

Im folgenden Beispiel ist glue:UseGlueStudio in der Aktionsrichtlinie enthalten, aber die AWS Glue Studio-APIs sind nicht einzeln gekennzeichnet. Denn wenn Sie glue:UseGlueStudio einschließen, erhalten Sie automatisch Zugriff auf die internen APIs, ohne die einzelnen AWS Glue Studio-APIs in den IAM-Berechtigungen angeben zu müssen.

Im Beispiel handelt es sich bei den zusätzlich aufgelisteten Aktionsrichtlinien (z. B. glue:SearchTables) nicht um AWS Glue Studio-APIs, sodass sie bei Bedarf in die IAM-Berechtigungen aufgenommen werden müssen. Sie können auch Amazon-S3-Proxy-Aktionen einschließen, um die Ebene des zu gewährenden Amazon-S3-Zugriffs festzulegen. Die folgende Beispielrichtlinie ermöglicht den Zugriff auf das Öffnen von AWS Glue Studio, das Erstellen eines visuellen Auftrags und das Speichern/Ausführen des Auftrags, wenn die ausgewählte IAM-Rolle über ausreichenden Zugriff verfügt.

Berechtigungen für Notebook und Datenvorschau

Mit Datenvorschauen und Notizbüchern können Sie in jeder Phase Ihres Auftrags (Lesen, Transformieren, Schreiben) ein Beispiel Ihrer Daten anzeigen, ohne den Auftrag ausführen zu müssen. Sie geben eine AWS Identity and Access Management (IAM)-Rolle für AWS Glue Studio an, die für den Zugriff auf die Daten zu verwenden ist. IAM-Rollen sollen annehmbar sein und haben keine langfristigen Standard-Anmeldeinformationen wie ein Kennwort oder damit verbundene Zugriffsschlüssel. Wenn AWS Glue Studio die Rolle übernimmt, stellt IAM stattdessen temporäre Sicherheitsanmeldeinformationen bereit.

Um sicherzustellen, dass Datenvorschauen und Notebook-Befehle ordnungsgemäß funktionieren, verwenden Sie eine Rolle mit einem Namen, der mit der Zeichenfolge AWSGlueServiceRole beginnt. Wenn Sie einen anderen Namen für Ihre Rolle verwenden möchten, müssen Sie die iam:passrole-Berechtigung hinzufügen und eine Richtlinie für die Rolle in IAM konfigurieren. Weitere Informationen finden Sie unter Erstellen Sie eine IAM-Richtlinie für Rollen, die nicht den Namen „AWSGlueServiceRole*“ tragen.

Warnung

Wenn eine Rolle die iam:passrole-Berechtigung für ein Notebook gewährt und Sie eine Rollenverkettung implementieren, könnte ein Benutzer unbeabsichtigt Zugriff auf das Notebook erlangen. Derzeit ist kein Auditing implementiert, mit dem Sie überwachen können, welchen Benutzern Zugriff auf das Notebook gewährt wurde.

Wenn Sie einer IAM-Identität die Möglichkeit verweigern möchten, Datenvorschau-Sitzungen zu erstellen, lesen Sie das folgende Beispiel Einer Identität die Möglichkeit verweigern, Datenvorschau-Sitzungen zu erstellen.

Amazon CloudWatch-Berechtigungen

Sie können Ihr AWS Glue Studio mit Amazon CloudWatch überwachen. Dabei werden Rohdaten von AWS Glue gesammelt und zu lesbaren, nahezu in Echtzeit bereitgestellten Metriken verarbeitet. Standardmäßig werden AWS Glue-Metrikdaten automatisch an CloudWatch gesendet. Weitere Informationen finden Sie unter Was ist Amazon CloudWatch? und im Amazon-CloudWatch-Benutzerhandbuch sowie unter AWS Glue-Metriken im AWS Glue-Entwicklerhandbuch.

Für den Zugriff auf CloudWatch-Dashboards benötigt der Benutzer, der auf AWS Glue Studio zugreift, eine der folgenden Richtlinien:

  • Die Richtlinie AdministratorAccess

  • Die Richtlinie CloudWatchFullAccess

  • Eine benutzerdefinierte Richtlinie mit einem oder mehreren dieser spezifischen Berechtigungen:

    • cloudwatch:GetDashboard und cloudwatch:ListDashboards zum Anzeigen von Dashboards

    • cloudwatch:PutDashboard zum Erstellen bzw. Ändern von Dashboards

    • cloudwatch:DeleteDashboards zum Löschen von Dashboards

Weitere Informationen zum Ändern von Berechtigungen für einen IAM-Benutzer mithilfe von Richtlinien finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer im IAM-Benutzerhandbuch.