Octroi de politiques gérées par AWS pour AWS Glue - AWS Glue
Politiques gérées par AWS (prédéfinies) pour AWS GlueMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi de politiques gérées par AWS pour AWS Glue

Une politique gérée par AWS est une politique autonome créée et administrée par AWS. Les politiques gérées par AWS sont conçues pour fournir des autorisations pour de nombreux cas d’utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

Gardez à l’esprit que les politiques gérées par AWS peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d’utilisation spécifiques, car elles sont disponibles pour tous les clients AWS. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques gérées par AWS. Si AWS met à jour les autorisations définies dans une politique gérée par AWS, la mise à jour affecte toutes les identités de principal (utilisateurs, groupes et rôles) auxquelles la politique est associée. AWS est plus susceptible de mettre à jour une politique gérée par AWS lorsqu’un nouveau Service AWS est lancé ou lorsque de nouvelles opérations API deviennent accessibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

Politiques gérées par AWS (prédéfinies) pour AWS Glue

AWS est approprié pour de nombreux cas d'utilisation courants et fournit des politiques IAM autonomes qui sont créées et administrées par AWS. Ces politiques gérées AWS octroient les autorisations requises dans les cas d'utilisation courants, afin de vous épargner les réflexions sur les autorisations requises. Pour plus d'informations, consultez Politiques gérées par AWS dans le Guide de l'utilisateur IAM.

Les politiques gérées par AWS suivantes, que vous pouvez associer aux identités de votre compte, sont propres à AWS Glue et sont regroupées par scénario d'utilisation :

  • AWSGlueConsoleFullAccess : accorde un accès complet aux ressources AWS Glue lorsqu'une identité à laquelle la politique est attachée utilise la AWS Management Console. Si vous suivez la convention de dénomination pour les ressources spécifiées dans la politique, les utilisateurs bénéficient des capacités totales de la console. Cette politique est généralement attachée aux utilisateurs de la console AWS Glue.

  • AWSGlueServiceRole-Octroie l'accès aux ressources dont les différents processus AWS Glue ont besoin pour s'exécuter en votre nom. Ces ressources comprennent AWS Glue, Amazon S3, IAM, CloudWatch Logs et Amazon EC2. Si vous suivez la convention de dénomination des ressources spécifiées dans la politique, les processus AWS Glue ont les autorisations requises. Cette politique est généralement attachée aux rôles spécifiés lorsque vous définissez les crawlers, les tâches et les points de terminaison de développement.

  • AwsGlueSessionUserRestrictedServiceRole – Fournit un accès complet à toutes ressources AWS Glue sauf pour les séances. Elle permet aux utilisateurs de créer et d'utiliser uniquement les séances interactives associées à l'utilisateur. Cette politique inclut d'autres autorisations requises par AWS Glue pour gérer les ressources AWS Glue dans d'autres services AWS. La politique autorise également l'ajout d'identifications aux ressources AWS Glue dans d'autres services AWS.

    Note

    Pour bénéficier de tous les avantages de la sécurité, n'accordez pas cette politique à un utilisateur qui a reçu la politique AWSGlueServiceRole, AWSGlueConsoleFullAccess, ou AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedPolicy : fournit l'accès à la création de séances interactives AWS Glue utilisant l'opération d'API CreateSession uniquement si une clé de balise « propriétaire » et une valeur correspondant à l'ID utilisateur AWS du destinataire sont fournies. Cette politique d'identité est associée à l'utilisateur IAM qui appelle l'opération d'API CreateSession. Cette politique permet également au destinataire d'interagir avec les ressources AWS Glue de séances interactives créées avec une balise « propriétaire » et une valeur correspondant à leur ID utilisateur AWS. Cette politique refuse l'autorisation de modifier ou de supprimer les balises « propriétaire » d'une ressource AWS Glue de séance après la création de la séance.

    Note

    Pour bénéficier de tous les avantages de la sécurité, n'accordez pas cette politique à un utilisateur qui a reçu la politique AWSGlueServiceRole, AWSGlueConsoleFullAccess, ou AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedNotebookServiceRole : fournit un accès suffisant à la séance de bloc-notes AWS Glue Studio pour interagir avec des ressources de séances interactives AWS Glue spécifiques. Il s'agit de ressources créées avec la valeur de balise « propriétaire » correspondant à l'ID utilisateur AWS du principal (utilisateur ou rôle IAM) qui crée le bloc-notes. Pour en savoir plus sur ces balises, veuillez consulter le diagramme Valeurs de la clé du principal dans le Guide de l'utilisateur IAM.

    Cette politique de fonction du service est attachée au rôle spécifié par une commande magique dans le bloc-notes ou transmise en tant que rôle à l'opération d'API CreateSession. Cette politique permet également au principal de créer une séance interactive AWS Glue de l'interface de bloc-notes AWS Glue Studio uniquement si une clé de balise « propriétaire » et une valeur correspondent à l'ID utilisateur AWS du principal. Cette politique refuse l'autorisation de modifier ou de supprimer les balises « propriétaire » d'une ressource AWS Glue de séance après la création de la séance. Cette politique inclut également des autorisations pour écrire et lire à partir de compartiments Amazon S3, écrire des journaux CloudWatch et créer et supprimer des balises pour les ressources Amazon EC2 utilisées par AWS Glue.

    Note

    Pour obtenir tous les avantages en matière de sécurité, n'accordez pas cette politique à un rôle qui a été attribué à la politique AWSGlueServiceRole, AWSGlueConsoleFullAccess, ou AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedNotebookPolicy : fournit l'accès pour créer une séance interactive AWS Glue depuis l'interface de bloc-notes AWS Glue Studio uniquement s'il existe une clé de balise « propriétaire » et une valeur correspondant à l'ID utilisateur AWS du principal (utilisateur ou rôle IAM) qui crée le bloc-notes. Pour en savoir plus sur ces balises, veuillez consulter le diagramme Valeurs de la clé du principal dans le Guide de l'utilisateur IAM.

    Cette politique est attachée au principal (utilisateur ou rôle IAM) qui crée des séances à partir de l'interface de bloc-notes AWS Glue Studio. Cette politique permet également un accès suffisant au bloc-notes AWS Glue Studio pour interagir avec des ressources de séances interactives AWS Glue spécifiques. Il s'agit de ressources créées avec la valeur de balise « propriétaire » correspondant à l'ID utilisateur AWS du principal. Cette politique refuse l'autorisation de modifier ou de supprimer les balises « propriétaire » d'une ressource AWS Glue de séance après la création de la séance.

  • AWSGlueServiceNotebookRole : accorde l'accès aux séances AWS Glue démarrées dans un bloc-notes AWS Glue Studio. Cette politique permet de répertorier et d'obtenir des informations de séance pour toutes les séances, mais permet uniquement aux utilisateurs de créer et d'utiliser les séances balisées avec leur ID utilisateur AWS. Cette politique refuse l'autorisation de modifier ou de supprimer les balises « propriétaire » des ressources de séance AWS Glue balisées avec leur ID AWS.

    Attribuez cette politique à l'utilisateur AWS qui crée des tâches à l'aide de l'interface de bloc-notes dans AWS Glue Studio.

  • AWSGlueConsoleSageMakerNotebookFullAccess : octroie un accès complet aux ressources AWS Glue et SageMaker AI lorsque l’identité à laquelle la politique est associée utilise la AWS Management Console. Si vous suivez la convention de dénomination pour les ressources spécifiées dans la politique, les utilisateurs bénéficient des capacités totales de la console. Cette politique est généralement attachée aux utilisateurs de la console AWS Glue qui gèrent des blocs-notes SageMaker AI.

  • AWSGlueSchemaRegistryFullAccess : accorde un accès complet aux ressources du registre de schémas AWS Glue lorsque l'identité à laquelle la politique est associée utilise la AWS Management Console ou l'AWS CLI. Si vous suivez la convention de dénomination pour les ressources spécifiées dans la politique, les utilisateurs bénéficient des capacités totales de la console. Cette politique est généralement associée aux utilisateurs de la console AWS Glue ou de l'AWS CLI qui gèrent le registre de schémas AWS Glue.

  • AWSGlueSchemaRegistryReadonlyAccess : accorde un accès en lecture seule aux ressources du registre de schémas AWS Glue lorsqu'une identité à laquelle la politique est associée utilise la AWS Management Console ou l'AWS CLI. Si vous suivez la convention de dénomination pour les ressources spécifiées dans la politique, les utilisateurs bénéficient des capacités totales de la console. Cette politique est généralement associée aux utilisateurs de la console AWS Glue ou de l'AWS CLI qui utilisent le registre de schémas AWS Glue.

Note

Vous pouvez consulter ces politiques d'autorisations en vous connectant à la console IAM et en y recherchant des politiques spécifiques.

Vous pouvez également créer vos propres stratégies IAM personnalisées afin d'accorder des autorisations pour les actions et les ressources AWS Glue. Vous pouvez attacher ces politiques personnalisées aux utilisateurs ou groupes IAM qui nécessitent ces autorisations.

Pour créer une connexion avec une configuration VPC tout en utilisant un rôle IAM personnalisé, celui-ci doit disposer des actions d’accès VPC suivantes :

  • secretsmanager:GetSecretValue

  • secretsmanager:PutSecretValue

  • secretsmanager:DescribeSecret

  • ec2:CreateNetworkInterface

  • ec2:DeleteNetworkInterface

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeSubnets

Mises à jour AWS Glue des politiques gérées par AWS

Consultez le détail des mises à jour des stratégies gérées par AWS pour AWS Glue depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du document AWS Glue.

Modification Description Date
AwsGlueSessionUserRestrictedNotebookPolicy : mise à jour mineure d’une politique existante. Ajoutez une action d’autorisation pour glue:TagResource sur la clé de l’identification propriétaire. Nécessaire pour la prise en charge de tag-on-create pour les sessions avec clé d’identification propriétaire. 30 août 2024
AwsGlueSessionUserRestrictedNotebookServiceRole : mise à jour mineure d’une politique existante. Ajoutez une action d’autorisation pour glue:TagResource sur la clé de l’identification propriétaire. Nécessaire pour la prise en charge de tag-on-create pour les sessions avec clé d’identification propriétaire. 30 août 2024
AwsGlueSessionUserRestrictedPolicy : mise à jour mineure d’une stratégie existante. Ajoutez une action d’autorisation pour glue:TagResource sur la clé de l’identification propriétaire. Nécessaire pour la prise en charge de tag-on-create pour les sessions avec clé d’identification propriétaire. 5 août 2024
AwsGlueSessionUserRestrictedServiceRole : mise à jour mineure d’une stratégie existante. Ajoutez une action d’autorisation pour glue:TagResource sur la clé de l’identification propriétaire. Nécessaire pour la prise en charge de tag-on-create pour les sessions avec clé d’identification propriétaire. 5 août 2024
AwsGlueSessionUserRestrictedPolicy : mise à jour mineure d’une stratégie existante. Ajout de glue:StartCompletion et de glue:GetCompletion à la politique. Nécessaire pour l’intégration de données Amazon Q. dans AWS Glue. 30 avril 2024
AwsGlueSessionUserRestrictedNotebookServiceRole : mise à jour mineure d’une politique existante. Ajout de glue:StartCompletion et de glue:GetCompletion à la politique. Nécessaire pour l’intégration de données Amazon Q. dans AWS Glue. 30 avril 2024
AwsGlueSessionUserRestrictedServiceRole : mise à jour mineure d’une stratégie existante. Ajout de glue:StartCompletion et de glue:GetCompletion à la politique. Nécessaire pour l’intégration de données Amazon Q. dans AWS Glue. 30 avril 2024
AWSGlueServiceNotebookRole : mise à jour mineure d'une stratégie existante. Ajout de glue:StartCompletion et de glue:GetCompletion à la politique. Nécessaire pour l’intégration de données Amazon Q. dans AWS Glue. 30 janvier 2024
AwsGlueSessionUserRestrictedNotebookPolicy : mise à jour mineure d’une politique existante. Ajout de glue:StartCompletion et de glue:GetCompletion à la politique. Nécessaire pour l’intégration de données Amazon Q. dans AWS Glue. 29 novembre 2023
AWSGlueServiceNotebookRole : mise à jour mineure d'une stratégie existante. Ajouter une stratégie codewhisperer:GenerateRecommendations Nécessaire pour une nouvelle fonctionnalité dans laquelle AWS Glue génère des recommandations CodeWhisperer. 9 octobre 2023

AWSGlueServiceRole : mise à jour mineure d'une stratégie existante.

 Réduisez la portée des autorisations CloudWatch pour mieux refléter la journalisation d'AWS Glue. 4 août 2023

AWSGlueConsoleFullAccess : mise à jour mineure d'une stratégie existante.

 Ajoutez les autorisations Lister et Décrire de la recette databrew à la stratégie. Nécessaire pour fournir un accès administratif complet aux nouvelles fonctionnalités permettant à AWS Glue d'accéder aux recettes. 9 mai 2023

AWSGlueConsoleFullAccess : mise à jour mineure d'une stratégie existante.

 Ajouter une stratégie cloudformation:ListStacks Préserve les fonctionnalités existantes après la modification des exigences d'autorisation CloudFormation. 28 mars 2023

Nouvelles politiques gérées ajoutées pour la fonctionnalité de séances interactives :

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRole

  • AwsGlueSessionUserRestrictedNotebookPolicy

Ces politiques ont été conçues pour fournir une sécurité supplémentaire pour les séances interactives et les blocs-notes dans AWS Glue Studio. Les politiques limitent l'accès à l'opération d'API CreateSession pour que seul le propriétaire ait accès.

 30 novembre 2021

AWSGlueConsoleSageMakerNotebookFullAccess : mise à jour d'une politique existante.

Suppression d'un ARN (arn:aws:s3:::aws-glue-*/*) de ressource redondante pour l'action qui octroie des autorisations de lecture/écriture aux compartiments Amazon S3 que AWS Glue utilise pour stocker des scripts et des fichiers temporaires.

Correction d'un problème de syntaxe en remplaçant "StringEquals" par "ForAnyValue:StringLike", et changement de place des lignes "Effect": "Allow" pour qu'elles précèdent la ligne "Action": dans chaque endroit où elles n'étaient pas dans l'ordre.

 15 juillet 2021

AWSGlueConsoleFullAccess : mise à jour d'une politique existante.

 Suppression d'un ARN (arn:aws:s3:::aws-glue-*/*) de ressource redondante pour l'action qui octroie des autorisations de lecture/écriture aux compartiments Amazon S3 que AWS Glue utilise pour stocker des scripts et des fichiers temporaires. 15 juillet 2021

AWS Glue a démarré le suivi des modifications.

 AWS Glue a commencé à suivre les modifications pour ses politiques gérées par AWS. 10 juin 2021