Gewährung von AWS-verwalteten Richtlinien für AWS Glue - AWS Glue
Von AWS verwaltete (vordefinierte) Richtlinien für AWS GlueRichtlinienaktualisierungen

Gewährung von AWS-verwalteten Richtlinien für AWS Glue

Eine von AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Von AWS verwaltete Richtlinien stellen Berechtigungen für viele häufige Anwendungsfälle bereit, damit Sie beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass von AWS verwaltete Richtlinien möglicherweise nicht die geringsten Berechtigungen für Ihre spezifischen Anwendungsfälle gewähren, da sie für alle AWS-Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Die Berechtigungen, die in den von AWS verwalteten Richtlinien definiert sind, können nicht geändert werden. Wenn AWS-Berechtigungen aktualisiert, die in einer von AWS verwalteten Richtlinie definiert werden, wirkt sich das Update auf alle Prinzipalidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert am wahrscheinlichsten eine von AWS verwaltete Richtlinie, wenn ein neuer AWS-Service gestartet wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

Von AWS verwaltete (vordefinierte) Richtlinien für AWS Glue

Durch die Bereitstellung von eigenständigen IAM-Richtlinien, die von AWS erstellt und verwaltet werden, deckt AWS viele häufige Anwendungsfälle ab. Diese von AWS verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

Die folgenden AWS-verwalteten Richtlinien, die Sie Identitäten in Ihrem Konto anfügen können, gelten für AWS Glue und sind nach Anwendungsfallszenarien gruppiert:

  • AWSGlueConsoleFullAccess – Gewährt vollen Zugriff auf AWS Glue-Ressourcen, wenn eine Identität, an die die Richtlinie angehängt ist, die AWS Management Console verwendet. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben Benutzer alle Konsolenfunktionalitäten. Diese Richtlinie wird typischerweise mit Benutzern der AWS Glue-Konsole verknüpft.

  • AWSGlueServiceRole – Gewährt den Zugriff auf Ressourcen, die verschiedene AWS Glue-Prozesse benötigen, um in Ihrem Namen ausgeführt zu werden. Diese Ressourcen beinhalten u. a. AWS Glue, Amazon S3, IAM, CloudWatch Logs und Amazon EC2. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben AWS Glue-Prozesse die erforderlichen Berechtigungen. Diese Richtlinie wird typischerweise mit Rollen verknüpft, die bei der Definition von Crawlern, Aufträgen und Entwicklungsendpunkten angegeben werden.

  • AwsGlueSessionUserRestrictedServiceRole – Bietet vollständigen Zugriff auf alle AWS Glue-Ressourcen außer Sitzungen. Sie erlaubt Benutzern nur die interaktiven Sitzungen zu erstellen und zu verwenden, die mit dem Benutzer verknüpft sind. Diese Richtlinie enthält auch andere Berechtigungen, die von AWS Glue benötigt werden, um AWS Glue-Ressourcen in anderen AWS-Services zu verwalten. Die Richtlinie erlaubt auch das Hinzufügen von Tags zu AWS Glue-Ressourcen in anderen AWS-Services.

    Anmerkung

    Um die vollen Sicherheitsvorteile zu erzielen, gewähren Sie diese Richtlinie nicht einem Benutzer, dem die AWSGlueServiceRole, AWSGlueConsoleFullAccess, oder AWSGlueConsoleSageMakerNotebookFullAccess-Richtlinie zugewiesen wurde.

  • AwsGlueSessionUserRestrictedPolicy – Ermöglicht den Zugriff auf die Erstellung interaktiver AWS Glue-Sitzungen über den CreateSession-API-Vorgang nur, wenn ein Tag-Schlüssel „owner“ und ein Wert, der mit der AWS-Benutzerkennung des Empfängers übereinstimmt, angegeben werden. Diese Identitätsrichtlinie ist dem IAM-Benutzer zugeordnet, der der CreateSession-API-Vorgang aufruft. Diese Richtlinie ermöglicht es dem Beauftragten auch, mit den interaktiven Sitzungsressourcen von AWS Glue zu interagieren, die mit einem „owner“ -Tag und einem Wert erstellt wurden, der ihrer AWS-Benutzerkennung entspricht. Diese Richtlinie verweigert die Berechtigung zum Ändern oder Entfernen von „Eigentümer“-Tags einer AWS GlueSitzungsressource nach dem Erstellen der Sitzung.

    Anmerkung

    Um die vollen Sicherheitsvorteile zu erzielen, gewähren Sie diese Richtlinie nicht einem Benutzer, dem die AWSGlueServiceRole, AWSGlueConsoleFullAccess, oder AWSGlueConsoleSageMakerNotebookFullAccess-Richtlinie zugewiesen wurde.

  • AwsGlueSessionUserRestrictedNotebookServiceRole – Bietet ausreichenden Zugriff auf die AWS Glue Studio-Notebook-Sitzung, um mit bestimmten interaktiven Sitzungsressourcen von AWS Glue zu interagieren. Dies sind Ressourcen, die mit dem Tagwert „owner“ erstellt werden, der AWS-Benutzer-ID des Prinzipals (IAM-Benutzer oder -Rolle) entspricht, der das Notebook erstellt. Weitere Informationen zu diesen Tags finden Sie im Diagramm Prinzipal-Schlüsselwerte im IAM-Benutzerhandbuch.

    Diese Servicerollenrichtlinie ist an die Rolle angehängt, die mit einer Magic-Anweisung innerhalb des Notebooks angegeben oder als Rolle an den CreateSession-API-Vorgang gegeben wird. Diese Richtlinie erlaubt es dem Auftraggeber auch, eine interaktive Sitzung von AWS Glue von der AWS Glue Studio-Notebook-Schnittstelle aus nur dann zu erstellen, wenn der Tag-Schlüssel „owner“ und der Wert mit der AWS-Benutzerkennung des Prinzipals übereinstimmen. Diese Richtlinie verweigert die Berechtigung zum Ändern oder Entfernen von „Eigentümer“-Tags einer AWS GlueSitzungsressource nach dem Erstellen der Sitzung. Diese Richtlinie enthält auch Berechtigungen zum Schreiben und Lesen aus Amazon-S3-Buckets, das Schreiben von CloudWatch-Protokollen, das Erstellen und Löschen von Tags für Amazon-EC2-Ressourcen, die von AWS Glue verwendet werden.

    Anmerkung

    Um die vollen Sicherheitsvorteile zu erzielen, gewähren Sie diese Richtlinie nicht einer Rolle, welcher die AWSGlueServiceRole, AWSGlueConsoleFullAccess, oder AWSGlueConsoleSageMakerNotebookFullAccess-Richtlinie zugewiesen wurde.

  • AwsGlueSessionUserRestrictedNotebookPolicy – Ermöglicht den Zugriff auf die Erstellung einer interaktiven Sitzung von AWS Glue über die AWS Glue Studio-Notebook-Schnittstelle nur dann, wenn der Tag-Schlüssel "owner" und der Wert mit der AWS-Benutzerkennung des Prinzipals (IAM-Benutzer oder -Rolle) übereinstimmen, der das Notebook erstellt. Weitere Informationen zu diesen Tags finden Sie im Diagramm Prinzipal-Schlüsselwerte im IAM-Benutzerhandbuch.

    Diese Richtlinie ist an den Prinzipal (IAM-Benutzer oder -Rolle) angehängt, der Sitzungen von der AWS Glue Studio-Notebook-Schnittstelle erstellt. Diese Richtlinie ermöglicht auch ausreichenden Zugriff auf das AWS Glue Studio-Notebook, um mit bestimmten interaktiven Sitzungsressourcen von AWS Glue zu interagieren. Dies sind Ressourcen, die mit dem Tagwert „owner“ erstellt werden, der AWS-Benutzer-ID des Prinzipals entspricht. Diese Richtlinie verweigert die Berechtigung zum Ändern oder Entfernen von „Eigentümer“-Tags einer AWS GlueSitzungsressource nach dem Erstellen der Sitzung.

  • AWSGlueServiceNotebookRole – Gewährt Zugriff auf AWS Glue-Sitzungen, die in einem AWS Glue Studio-Notebook erstellt wurden. Diese Richtlinie ermöglicht die Auflistung und den Abruf von Sitzungsinformationen für alle Sitzungen, erlaubt es den Benutzern jedoch nur, die mit ihrer AWS-Benutzerkennung gekennzeichneten Sitzungen zu erstellen und zu verwenden. Diese Richtlinie verweigert die Erlaubnis, „owner“-Tags von AWS Glue-Sitzungsressourcen zu ändern oder zu entfernen, die mit ihrer AWS-Benutzerkennung gekennzeichnet sind.

    Weisen Sie diese Richtlinie dem AWS-Benutzer zu, der Aufträge über die Notebook-Schnittstelle in AWS Glue Studio erstellt.

  • AWSGlueConsoleSageMakerNotebookFullAccess – Gewährt vollen Zugriff auf AWS-Glue- und SageMaker-AI-Ressourcen, wenn die Identität, der die Richtlinie zugeordnet ist, die AWS Management Console verwendet. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben Benutzer alle Konsolenfunktionalitäten. Diese Richtlinie wird typischerweise mit Benutzern der AWS Glue-Konsole verknüpft, die SageMaker-AI-Notebooks verwalten.

  • AWSGlueSchemaRegistryFullAccess – Gewährt vollen Zugriff auf AWS Glue-Schema-Registry-Ressourcen, wenn die Identität, der die Richtlinie zugeordnet ist, die AWS Management Console oder AWS CLI verwendet. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben Benutzer alle Konsolenfunktionalitäten. Diese Richtlinie wird typischerweise mit Benutzern der AWS Glue-Konsole oder der AWS CLI verknüpft, die die AWS Glue-Schema-Registry verwalten.

  • AWSGlueSchemaRegistryReadonlyAccess – Gewährt schreibgeschützten Zugriff auf AWS Glue-Schema-Registry-Ressourcen, wenn eine Identität, der die Richtlinie zugeordnet ist die AWS Management Console oder AWS CLI verwendet. Wenn Sie die Namenskonvention für Ressourcen befolgen, die in dieser Richtlinie angegeben sind, haben Benutzer alle Konsolenfunktionalitäten. Diese Richtlinie wird typischerweise mit Benutzern der AWS Glue-Glue-Konsole oder der AWS CLI verknüpft, die die AWS Glue-Schema-Registry verwenden.

Anmerkung

Sie können diese Berechtigungsrichtlinien prüfen, indem Sie sich bei der IAM-Konsole anmelden und dort nach bestimmten Richtlinien suchen.

Sie können auch Ihre eigenen, benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für AWS-Glue-Aktionen und -Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den IAM-Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.

Um eine Verbindung mit der VPC-Konfiguration herzustellen und gleichzeitig eine benutzerdefinierte IAM-Rolle zu verwenden, muss sie über die folgenden VPC-Zugriffsaktionen verfügen:

  • secretsmanager:GetSecretValue

  • secretsmanager:PutSecretValue

  • secretsmanager:DescribeSecret

  • ec2:CreateNetworkInterface

  • ec2:DeleteNetworkInterface

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeSubnets

AWS-Glue-Updates für AWS-verwaltete Richtlinien

Anzeigen von Details zu Aktualisierungen für AWS-verwaltete Richtlinien für AWS Glue, seit dieser Dienst mit der Verfolgung dieser Änderungen begonnen hat. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Seite AWS-Glue-Dokumentenverlauf.

Änderung Beschreibung Datum
AwsGlueSessionUserRestrictedNotebookPolicy – Kleinere Aktualisierung einer vorhandenen Richtlinie. Zulässigkeit der Aktion glue:TagResource für Besitzer-Tag-Schlüssel hinzufügen. Erforderlich für die Unterstützung von Tag-on-Create für Sitzungen mit Besitzer-Tag-Schlüssel. 30. August 2024
AwsGlueSessionUserRestrictedNotebookServiceRole – Geringfügige Aktualisierung einer bestehenden Richtlinie. Zulässigkeit der Aktion glue:TagResource für Besitzer-Tag-Schlüssel hinzufügen. Erforderlich für die Unterstützung von Tag-on-Create für Sitzungen mit Besitzer-Tag-Schlüssel. 30. August 2024
AwsGlueSessionUserRestrictedPolicy – Geringfügige Aktualisierung einer bestehenden Richtlinie. Zulässigkeit der Aktion glue:TagResource für Besitzer-Tag-Schlüssel hinzufügen. Erforderlich für die Unterstützung von Tag-on-Create für Sitzungen mit Besitzer-Tag-Schlüssel. 5. August 2024
AwsGlueSessionUserRestrictedServiceRole – Geringfügige Aktualisierung einer bestehenden Richtlinie. Zulässigkeit der Aktion glue:TagResource für Besitzer-Tag-Schlüssel hinzufügen. Erforderlich für die Unterstützung von Tag-on-Create für Sitzungen mit Besitzer-Tag-Schlüssel. 5. August 2024
AwsGlueSessionUserRestrictedPolicy – Geringfügige Aktualisierung einer bestehenden Richtlinie. Fügen Sie glue:StartCompletion und glue:GetCompletion zur Richtlinie hinzu. Erforderlich für die Integration von Amazon-Q-Daten in AWS Glue. 30. April 2024
AwsGlueSessionUserRestrictedNotebookServiceRole – Geringfügige Aktualisierung einer bestehenden Richtlinie. Fügen Sie glue:StartCompletion und glue:GetCompletion zur Richtlinie hinzu. Erforderlich für die Integration von Amazon-Q-Daten in AWS Glue. 30. April 2024
AwsGlueSessionUserRestrictedServiceRole – Geringfügige Aktualisierung einer bestehenden Richtlinie. Fügen Sie glue:StartCompletion und glue:GetCompletion zur Richtlinie hinzu. Erforderlich für die Integration von Amazon-Q-Daten in AWS Glue. 30. April 2024
AWSGlueServiceNotebookRole — Kleines Update einer vorhandenen Richtlinie. Fügen Sie glue:StartCompletion und glue:GetCompletion zur Richtlinie hinzu. Erforderlich für die Integration von Amazon-Q-Daten in AWS Glue. 30. Januar 2024
AwsGlueSessionUserRestrictedNotebookPolicy – Kleinere Aktualisierung einer vorhandenen Richtlinie. Fügen Sie glue:StartCompletion und glue:GetCompletion zur Richtlinie hinzu. Erforderlich für die Integration von Amazon-Q-Daten in AWS Glue. 29. November 2023
AWSGlueServiceNotebookRole — Kleines Update einer vorhandenen Richtlinie. Fügen Sie codewhisperer:GenerateRecommendations zur Richtlinie hinzu. Für ein neues Feature erforderlich, bei dem AWS Glue CodeWhisperer-Empfehlungen generiert. 9. Oktober 2023

AWSGlueServiceRole – Kleine Aktualisierung einer vorhandenen Richtlinie.

 Beschränken Sie den Umfang der CloudWatch-Berechtigungen, um die AWS-Glue-Protokollierung besser widerzuspiegeln. 04. August 2023

AWSGlueConsoleFullAccess – Kleine Aktualisierung einer vorhandenen Richtlinie.

 Fügen Sie der Richtlinie databrew-Rezeptlisten- und Beschreibungsberechtigungen hinzu. Erforderlich, um einen vollständigen administrativen Zugriff für neue Features bereitzustellen, bei denen AWS Glue auf Rezepte zugreifen kann. 09. Mai 2023

AWSGlueConsoleFullAccess – Kleine Aktualisierung einer vorhandenen Richtlinie.

 Fügen Sie cloudformation:ListStacks zur Richtlinie hinzu. Behält vorhandene Funktionen nach Änderungen an den AWS CloudFormation-Autorisierungsanforderungen bei. 28. März 2023

Neue verwaltete Richtlinien für das Interactive-Sessions-Feature hinzugefügt

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRole

  • AwsGlueSessionUserRestrictedNotebookPolicy

Diese Richtlinien wurden entwickelt, um zusätzliche Sicherheit für Interactive Sessions und Notebooks in AWS Glue Studio zu bieten. Die Richtlinien beschränken den Zugriff auf den CreateSession-API-Vorgang, damit nur der Eigentümer Zugriff hat.

 30. November 2021

AWSGlueConsoleSageMakerNotebookFullAccess – Aktualisierung auf eine bestehende Richtlinie.

Redundante Ressourcen-ARN (arn:aws:s3:::aws-glue-*/*) für die Aktion, die Lese-/Schreibberechtigungen für Amazon S3 Buckets gewährt, die AWS Glue verwendet, um Skripts und temporäre Dateien zu speichern.

Ein Syntaxproblem wurde behoben, indem "StringEquals" auf "ForAnyValue:StringLike" geändert wurde, und die "Effect": "Allow"-Zeilen wurden der Zeile "Action": an den Stellen vorangestellt, an denen die Reihenfolge fehlerhaft war.

 15. Juli 2021

AWSGlueConsoleFullAccess – Aktualisierung auf eine bestehende Richtlinie.

 Redundante Ressourcen-ARN (arn:aws:s3:::aws-glue-*/*) für die Aktion, die Lese-/Schreibberechtigungen für Amazon S3 Buckets gewährt, die AWS Glue verwendet, um Skripts und temporäre Dateien zu speichern. 15. Juli 2021

AWS Glue hat die Änderungsverfolgung gestartet.

 AWS Glue hat mit der Verfolgung von Änderungen für seine AWS-verwalteten Richtlinien begonnen. 10. Juni 2021