Erforderliche IAM-Berechtigungen für den AWS Glue Studio-Benutzer überprüfen - AWS Glue
AWS Glue-Service-BerechtigungenErstellen benutzerdefinierter IAM-Richtlinien für AWS Glue Studio Zugriff auf AWS Glue Studio APIs Berechtigungen für Notebook und DatenvorschauAmazon CloudWatch -Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erforderliche IAM-Berechtigungen für den AWS Glue Studio-Benutzer überprüfen

Für die Verwendung AWS Glue Studio muss der Benutzer Zugriff auf verschiedene AWS Ressourcen haben. Der Benutzer muss Amazon-S3-Buckets, IAM-Richtlinien und -Rollen sowie AWS Glue Data Catalog-Objekte anzeigen und auswählen können.

AWS Glue-Service-Berechtigungen

AWS Glue Studio verwendet die Aktionen und Ressourcen des AWS Glue-Services. Ihr Benutzer benötigt Berechtigungen für diese Aktionen und Ressourcen, um AWS Glue Studio sinnvoll verwenden zu können. Sie können für den AWS Glue Studio-Benutzer die verwaltete Richtlinie AWSGlueConsoleFullAccess aktivieren oder eine benutzerdefinierte Richtlinie mit weniger Berechtigungen erstellen.

Wichtig

Im Sinne der Sicherheit hat es sich bewährt, den Zugriff auf Amazon-S3-Bucket- und Amazon CloudWatch -Protokoll-Gruppen durch strengere Richtlinien einzuschränken. Eine Amazon-S3-Beispielrichtlinie finden Sie unter Schreiben von IAM-Richtlinien: So gewähren Sie Zugriff auf einen Amazon-S3-Bucket.

Erstellen benutzerdefinierter IAM-Richtlinien für AWS Glue Studio

Sie können eine benutzerdefinierte Richtlinie mit weniger Berechtigungen für AWS Glue Studio erstellen. Die Richtlinie kann Berechtigungen für eine Teilmenge von Objekten oder Aktionen erteilen. Verwenden Sie die folgenden Informationen, wenn Sie eine benutzerdefinierte Richtlinie erstellen.

Um das verwenden zu können AWS Glue Studio APIs, nehmen Sie glue:UseGlueStudio in der Aktionsrichtlinie Ihre IAM-Berechtigungen auf. Die Verwendung von glue:UseGlueStudio ermöglicht Ihnen den Zugriff auf alle AWS Glue Studio-Aktionen, auch wenn im Laufe der Zeit weitere Aktionen zur API hinzugefügt werden.

Weitere Informationen zu Aktionen, die von definiert sind AWS Glue, finden Sie unter Aktionen definiert von AWS Glue.

Aktionen zur Datenaufbereitung und -erstellung

  • SendRecipeAction

  • GetRecipeAction

DAG-Aktionen (Ausgerichtetes azyklisches Diagramm)

  • CreateDag

  • UpdateDag

  • GetDag

  • DeleteDag

Auftragsaktionen

  • SaveJob

  • GetJob

  • CreateJob

  • DeleteJob

  • GetJobs

  • UpdateJob

Aktionen zur Auftragsausführung

  • StartJobRun

  • GetJobRuns

  • BatchStopJobRun

  • GetJobRun

  • QueryJobRuns

  • QueryJobs

  • QueryJobRunsAggregated

Schema-Aktionen

  • GetSchema

  • GetInferredSchema

Datenbank-Aktionen

  • GetDatabases

Plan-Aktionen

  • GetPlan

Tabellen-Aktionen

  • SearchTables

  • GetTables

  • GetTable

Verbindungs-Aktionen

  • CreateConnection

  • DeleteConnection

  • UpdateConnection

  • GetConnections

  • GetConnection

Zuordnungs-Aktionen

  • GetMapping

S3-Proxy-Aktionen

  • ListBuckets

  • ListObjectsV2

  • GetBucketLocation

Sicherheitskonfigurations-Aktionen

  • GetSecurityConfigurations

Skript-Aktionen

  • CreateScript (unterscheidet sich von der gleichnamigen API inAWS Glue)

Zugriff auf AWS Glue Studio APIs

Um auf AWS Glue Studio zuzugreifen, fügen Sie glue:UseGlueStudio in der Liste der Aktionsrichtlinien in den IAM-Berechtigungen hinzu.

Im Beispiel unten sind sie in der Aktionsrichtlinie enthalten, aber AWS Glue Studio APIs sie werden nicht einzeln identifiziert. glue:UseGlueStudio Das liegt daranglue:UseGlueStudio, dass Sie beim Einbeziehen automatisch Zugriff auf die internen Daten erhalten, APIs ohne dass Sie die Person AWS Glue Studio APIs in den IAM-Berechtigungen angeben müssen.

In diesem Beispiel sind die zusätzlich aufgelisteten Aktionsrichtlinien (z. B.glue:SearchTables) nicht vorhanden AWS Glue Studio APIs, sodass sie bei Bedarf in die IAM-Berechtigungen aufgenommen werden müssen. Sie können auch Amazon-S3-Proxy-Aktionen einschließen, um die Ebene des zu gewährenden Amazon-S3-Zugriffs festzulegen. Die folgende Beispielrichtlinie ermöglicht den Zugriff auf das Öffnen AWS Glue Studio und save/run Erstellen eines visuellen Auftrags, sofern die ausgewählte IAM-Rolle über ausreichenden Zugriff verfügt.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "glue:UseGlueStudio",
                "iam:ListRoles",
                "iam:ListUsers",
                "iam:ListGroups",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "glue:SearchTables",
                "glue:GetConnections",
                "glue:GetJobs",
                "glue:GetTables",
                "glue:BatchStopJobRun",
                "glue:GetSecurityConfigurations",
                "glue:DeleteJob",
                "glue:GetDatabases",
                "glue:CreateConnection",
                "glue:GetSchema",
                "glue:GetTable",
                "glue:GetMapping",
                "glue:CreateJob",
                "glue:DeleteConnection",
                "glue:CreateScript",
                "glue:UpdateConnection",
                "glue:GetConnection",
                "glue:StartJobRun",
                "glue:GetJobRun",
                "glue:UpdateJob",
                "glue:GetPlan",
                "glue:GetJobRuns",
                "glue:GetTags",
                "glue:GetJob",
                "glue:QueryJobRuns",
                "glue:QueryJobs",
                "glue:QueryJobRunsAggregated",
                "glue:SendRecipeAction",
                "glue:GetRecipeAction"
            ],
            "Resource": "*"
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": [
                        "glue.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Berechtigungen für Notebook und Datenvorschau

Mit Datenvorschauen und Notizbüchern können Sie in jeder Phase Ihres Auftrags (Lesen, Transformieren, Schreiben) ein Beispiel Ihrer Daten anzeigen, ohne den Auftrag ausführen zu müssen. Sie geben eine AWS Identity and Access Management (IAM-) Rolle an, die beim Zugriff auf die Daten verwendet werden AWS Glue Studio soll. IAM-Rollen sollen annehmbar sein und haben keine langfristigen Standard-Anmeldeinformationen wie ein Kennwort oder damit verbundene Zugriffsschlüssel. Wenn AWS Glue Studio die Rolle übernimmt, stellt IAM stattdessen temporäre Sicherheitsanmeldeinformationen bereit.

Um sicherzustellen, dass Datenvorschauen und Notebook-Befehle ordnungsgemäß funktionieren, verwenden Sie eine Rolle mit einem Namen, der mit der Zeichenfolge AWSGlueServiceRole beginnt. Wenn Sie einen anderen Namen für Ihre Rolle verwenden möchten, müssen Sie die iam:passrole-Berechtigung hinzufügen und eine Richtlinie für die Rolle in IAM konfigurieren. Weitere Informationen finden Sie unter Erstellen Sie eine IAM-Richtlinie für Rollen, die nicht "AWSGlueServiceRole*“ heißen.

Warnung

Wenn eine Rolle die iam:passrole-Berechtigung für ein Notebook gewährt und Sie eine Rollenverkettung implementieren, könnte ein Benutzer unbeabsichtigt Zugriff auf das Notebook erlangen. Derzeit ist kein Auditing implementiert, mit dem Sie überwachen können, welchen Benutzern Zugriff auf das Notebook gewährt wurde.

Wenn Sie einer IAM-Identität die Möglichkeit verweigern möchten, Datenvorschau-Sitzungen zu erstellen, lesen Sie das folgende Beispiel Einer Identität die Möglichkeit verweigern, Datenvorschau-Sitzungen zu erstellen.

Amazon CloudWatch -Berechtigungen

Sie können Ihre AWS Glue Studio Jobs mithilfe von Metriken überwachen Amazon CloudWatch, die Rohdaten sammeln und AWS Glue zu lesbaren near-real-time Metriken verarbeiten. Standardmäßig werden AWS Glue Metrikdaten CloudWatch automatisch an diese gesendet. Weitere Informationen finden Sie unter Was ist Amazon CloudWatch? im CloudWatch Amazon-Benutzerhandbuch und AWS GlueMetrics im AWS Glue Entwicklerhandbuch.

Um auf CloudWatch Dashboards zugreifen zu können, AWS Glue Studio benötigt der zugreifende Benutzer eine der folgenden Voraussetzungen:

  • Die Richtlinie AdministratorAccess

  • Die Richtlinie CloudWatchFullAccess

  • Eine benutzerdefinierte Richtlinie mit einem oder mehreren dieser spezifischen Berechtigungen:

    • cloudwatch:GetDashboard und cloudwatch:ListDashboards zum Anzeigen von Dashboards

    • cloudwatch:PutDashboard zum Erstellen bzw. Ändern von Dashboards

    • cloudwatch:DeleteDashboards zum Löschen von Dashboards

Weitere Informationen zum Ändern von Berechtigungen für einen IAM-Benutzer mithilfe von Richtlinien finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer im IAM-Benutzerhandbuch.