Spécification des ARN de ressource AWS Glue
Dans AWS Glue, vous pouvez contrôler l'accès aux ressources à l'aide d'une politique AWS Identity and Access Management (IAM). Dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Certaines ressources AWS Glue ne prennent pas en charge les ARN.
Rubriques
ARN du catalogue de données
Les ressources du catalogue de données ont une structure hiérarchique, avec catalog comme racine.
arn:aws:glue:region:account-id:catalog
Chaque compte AWS a un seul catalogue de données dans une région AWS avec l'ID de compte à 12 chiffres comme ID de catalogue. Les ressources répertoriées dans le tableau suivant sont associées à un ARN unique.
| Type de ressource | Format ARN |
|---|---|
Catalogue |
Par exemple : |
Base de données |
Par exemple : |
Tableau |
Par exemple : |
Catalogue de tables S3 fédérées (tous les compartiments de tables) |
Par exemple : |
Catalogue de compartiments de tables S3 fédérées (catalogue enfant) |
Par exemple : |
Base de données de tables S3 fédérées |
Par exemple : |
Table S3 fédérée |
Par exemple : |
| Catalogue de tables S3 fédérées (un compartiment de tables unique enregistré avec Lake Formation) |
Par exemple : |
| Base de données de tables S3 fédérées |
Par exemple : |
| Table S3 fédérée |
Par exemple : |
Catalogue fédéré ou géré (catalogue de premier niveau dans un catalogue multiple) |
Par exemple : Le format ARN d’un catalogue géré suit la même structure. |
Catalogue fédéré à plusieurs niveaux (catalogue enfant dans un catalogue à plusieurs niveaux) |
Par exemple : |
Base de données fédérée |
Par exemple : |
Table fédérée |
Par exemple : |
| Conteneur de liens du catalogue |
Par exemple : |
| Base de données |
Par exemple : |
Fonction définie par l'utilisateur |
Par exemple : |
Connexion |
Par exemple : |
Séance interactive |
Par exemple : |
Pour activer un contrôle d'accès précis, vous pouvez utiliser ces ARN dans vos politiques IAM et politiques de ressources pour accorder ou refuser l'accès à des ressources spécifiques. Les caractères génériques sont autorisés dans les politiques. Par exemple, l'ARN suivant correspond à toutes les tables de la base de données default.
arn:aws:glue:us-east-1:123456789012:table/default/*
Important
Toutes les opérations effectuées sur une ressource du catalogue de données requièrent une autorisation sur la ressource et tous les ancêtres de cette ressource. Par exemple, la création d'une partition pour une table nécessite l'autorisation sur la table, la base de données et le catalogue où se trouve la table. L'exemple suivant montre l'autorisation requise pour créer des partitions sur la table PrivateTable dans la base de données PrivateDatabase du catalogue de données.
{ "Sid": "GrantCreatePartitions", "Effect": "Allow", "Action": [ "glue:BatchCreatePartitions" ], "Resource": [ "arn:aws:glue:us-east-1:123456789012:table/PrivateDatabase/PrivateTable", "arn:aws:glue:us-east-1:123456789012:database/PrivateDatabase", "arn:aws:glue:us-east-1:123456789012:catalog" ] }
Outre l'autorisation sur la ressource et tous ses ancêtres, toutes les opérations de suppression nécessitent une autorisation sur tous les enfants de cette ressource. Par exemple, pour supprimer une base de données, il faut l'autorisation sur toutes les tables et les fonctions définies par l'utilisateur dans la base de données, ainsi que sur la base de données et le catalogue dans lequel se trouve la base de données. L'exemple suivant montre l'autorisation requise pour supprimer une base de données PrivateDatabase dans le catalogue de données.
{ "Sid": "GrantDeleteDatabase", "Effect": "Allow", "Action": [ "glue:DeleteDatabase" ], "Resource": [ "arn:aws:glue:us-east-1:123456789012:table/PrivateDatabase/*", "arn:aws:glue:us-east-1:123456789012:userDefinedFunction/PrivateDatabase/*", "arn:aws:glue:us-east-1:123456789012:database/PrivateDatabase", "arn:aws:glue:us-east-1:123456789012:catalog" ] }
En résumé, les actions sur les ressources du catalogue de données suivent ces règles d'autorisation :
Les actions sur le catalogue requièrent l'autorisation sur le catalogue uniquement.
Les actions sur une base de données requièrent l'autorisation sur la base de données et le catalogue.
Les actions de suppression sur une base de données requièrent l'autorisation sur la base de données et le catalogue, ainsi que sur toutes les tables et les fonctions définies par l'utilisateur dans la base de données.
Les actions sur une table, une partition ou une version de table requièrent l'autorisation sur la table, la base de données et le catalogue.
Les actions sur une fonction définie par l'utilisateur requièrent l'autorisation sur la fonction définie par l'utilisateur, la base de données et le catalogue.
Les actions sur une connexion requièrent l'autorisation sur la connexion et le catalogue.
ARN pour les objets n'appartenant pas au catalogue dans AWS Glue
Certaines ressources AWS Glue autorisent les permissions au niveau des ressources pour contrôler l'accès à l'aide d'un ARN. Vous pouvez utiliser ces ARN dans vos politiques IAM pour permettre un contrôle d'accès précis. La table suivante répertorie les ressources qui peuvent contenir des ARN de ressource.
| Type de ressource | Format ARN |
|---|---|
crawler |
Par exemple : |
Tâche |
Par exemple : |
Déclencheur |
Par exemple : |
Point de terminaison de développement |
Par exemple : |
Transformation de machine learning |
Par exemple : |
Contrôle d'accès pour les opérations d'API uniques AWS Glue non liées à un catalogue
Les opérations d'API AWS Glue non liées à un catalogue uniques agissent sur un seul élément (point de terminaison de développement). Des exemples sont GetDevEndpoint, CreateUpdateDevEndpoint et UpdateDevEndpoint. Pour ces opérations, une politique doit placer le nom de l'API dans le bloc "action" et l'ARN de la ressource dans le bloc "resource".
Supposons que vous souhaitiez autoriser un utilisateur à appeler l'opération GetDevEndpoint. La politique suivante accorde les autorisations nécessaires minimales à un point de terminaison nommé myDevEndpoint-1.
La politique suivante autorise l'accès UpdateDevEndpoint aux ressources qui correspondent à myDevEndpoint- avec un caractère générique (*).
Vous pouvez combiner les deux politiques, comme dans l'exemple suivant. Il se peut que vous constatiez EntityNotFoundException pour n'importe quel point de terminaison de développement dont le nom commence par A. Toutefois, une erreur d'accès refusé est renvoyé lorsque vous essayez d'accéder à d'autres points de terminaison de développement.
Contrôle d'accès pour les opérations d'API AWS Glue non liées à un catalogue qui extraient plusieurs éléments
Certaines opérations d'API AWS Glue extraient plusieurs éléments (par exemple, plusieurs points de terminaison de développement) ; par exemple, GetDevEndpoints. Pour cette opération, vous pouvez spécifier uniquement une ressource à caractère générique (*), et non les ARN spécifiques.
Par exemple, pour inclure GetDevEndpoints dans la politique, la ressource doit être définie avec le caractère générique (*). Les opérations uniques (GetDevEndpoint, CreateDevEndpoint et DeleteDevendpoint) sont également définies pour toutes les ressources (*) de l'exemple.
{ "Sid": "PluralAPIIncluded", "Effect": "Allow", "Action": [ "glue:GetDevEndpoints", "glue:GetDevEndpoint", "glue:CreateDevEndpoint", "glue:UpdateDevEndpoint" ], "Resource": [ "*" ] }
Contrôle d'accès pour les opérations d'API BatchGet AWS Glue non liées à un catalogue
Certaines opérations d'API AWS Glue extraient plusieurs éléments (par exemple, plusieurs points de terminaison de développement) ; par exemple, BatchGetDevEndpoints. Pour cette opération, vous pouvez spécifier un ARN pour limiter la portée des ressources qui sont accessibles.
Par exemple, pour autoriser l'accès à un point de terminaison de développement spécifique, incluez BatchGetDevEndpoints dans la politique avec son ARN de ressource.
{ "Sid": "BatchGetAPIIncluded", "Effect": "Allow", "Action": [ "glue:BatchGetDevEndpoints" ], "Resource": [ "arn:aws:glue:us-east-1:123456789012:devEndpoint/de1" ] }
Avec cette politique, vous pouvez accéder correctement au point de terminaison de développement nommé de1. Toutefois, si vous tentez d'accéder au point de terminaison de développement nommé de2, une erreur est renvoyée.
An error occurred (AccessDeniedException) when calling the BatchGetDevEndpoints operation: No access to any requested resource.
Important
Pour d'autres approches de la configuration des politiques IAM, telles que l'utilisation des opérations d'API List et BatchGet, consultez Exemples de politiques basées sur l'identité pour AWS Glue.
