View a markdown version of this page

Comment ?AWS Glue DataBrew fonctionne avec IAM - AWS Glue DataBrew Guide du développeur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment ?AWS Glue DataBrew fonctionne avec IAM

Avant d'utiliser IAM pour gérer l'accès à DataBrew, vous devez connaître les fonctionnalités IAM disponibles. DataBrew Pour obtenir une vue d'ensemble de la façon dont DataBrew les autres AWS services fonctionnent avec IAM, consultez la section AWS Services qui fonctionnent avec IAM dans le Guide de l'utilisateur d'IAM.

DataBrew politiques basées sur l'identité

Avec les politiques basées sur l’identité IAM, vous pouvez spécifier les actions et les ressources autorisées ou refusées, ainsi que les conditions selon lesquelles les actions sont autorisées ou refusées. DataBrew prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez Références des éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.

Actions

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. En d'autres termes, une politique AWS JSON peut spécifier quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L'élément Action d'une politique JSON décrit les actions auxquelles vous pouvez autoriser ou refuser l'accès dans une politique. Les actions de politique possèdent généralement le même nom que l’opération d’API AWS associée. Il existe quelques exceptions, telles que les actions avec autorisations uniquement qui n’ont pas d’opération API correspondante. Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.

Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.

Les actions de politique en DataBrew cours utilisent le préfixe suivant avant l'action :databrew:. Par exemple, pour accorder à une personne l’autorisation d’exécuter une instance Amazon EC2 avec l’opération d’API RunInstances Amazon EC2, vous incluez l’action ec2:RunInstances dans sa politique. Les déclarations de politique doivent inclure un NotAction élément Action ou. DataBrew définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec lui.

Pour spécifier plusieurs actions dans une seule instruction, séparez-les par des virgules, comme suit :

"Action": [ "databrew:CreateRecipeJob", "databrew:UpdateSchedule"

Vous pouvez aussi préciser plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l’action suivante.

"Action": "databrew:Describe*"

Pour consulter la liste des DataBrew actions, reportez-vous à la section Actions définies par AWS Glue DataBrew dans le guide de l'utilisateur IAM.

Ressources

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L’élément de politique JSON Resource indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son Amazon Resource Name (ARN). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.

"Resource": "*"

Les DataBrew API suivantes ne prennent pas en charge les autorisations au niveau des ressources :

  • ListDatasets

  • ListJobs

  • ListProjects

  • ListRecipes

  • ListRulesets

  • ListSchedules

La ressource du DataBrew jeu de données possède le nom de ressource Amazon (ARN) suivant.

arn:${Partition}:databrew:${Region}:${Account}:dataset/${Name}

Pour plus d'informations sur le format des ARN, consultez Amazon Resource Names (ARN) et AWS Service Namespaces.

Par exemple, pour spécifier l'i-1234567890abcdef0instance dans votre instruction, utilisez l'ARN suivant.

"Resource": "arn:aws:databrew:us-east-1:123456789012:dataset/my-chess-dataset"

Pour spécifier toutes les instances qui appartiennent à un compte spécifique, utilisez le caractère générique (*).

"Resource": "arn:aws:databrew:us-east-1:123456789012:dataset/*"

Vous ne pouvez pas effectuer certaines DataBrew actions, telles que celles relatives à la création de ressources, sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).

"Resource": "*"

Pour consulter la liste des types de DataBrew ressources et de leurs ARN, consultez la section Ressources définies par AWS Glue DataBrew dans le guide de l'utilisateur IAM. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez Actions définies par AWS Glue DataBrew.

Clés de condition

DataBrew ne fournit aucune clé de condition spécifique au service, mais il prend en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir les clés de contexte de condition AWS globales dans le guide de l'utilisateur IAM.

Exemples

Pour consulter des exemples de politiques DataBrew basées sur l'identité, consultez. Identity-based exemples de politiques pour AWS Glue DataBrew

Resource-based politiques dans DataBrew

DataBrew ne prend pas en charge les politiques basées sur les ressources.

DataBrew Rôles IAM

Un rôle IAM est une entité de votre AWS compte qui dispose d'autorisations spécifiques.

Utilisation d'informations d'identification temporaires avec DataBrew

Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d'AWS STS API telles que AssumeRoleou GetFederationToken.

DataBrew prend en charge l'utilisation d'informations d'identification temporaires.

Service-linked rôles

Service-linked les rôles permettent aux AWS services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Service-linked les rôles apparaissent dans votre compte IAM et appartiennent au service. Un administrateur peut consulter, mais ne peut pas modifier les autorisations concernant les rôles liés à un service.

Choisir un rôle IAM dans DataBrew

Lorsque vous créez une ressource de jeu de données dans DataBrew, vous choisissez un rôle IAM pour autoriser DataBrew l'accès en votre nom. Si vous avez déjà créé un rôle de service ou un rôle lié à un service, il vous DataBrew fournit une liste de rôles parmi lesquels choisir. Assurez-vous de choisir un rôle qui autorise l'accès en lecture à un compartiment ou à une AWS Glue Data Catalog ressource Amazon S3, selon le cas.