View a markdown version of this page

Bagaimana AWS Glue DataBrew bekerja dengan IAM - AWS Glue DataBrew Panduan Developer

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana AWS Glue DataBrew bekerja dengan IAM

Sebelum Anda menggunakan IAM untuk mengelola akses DataBrew, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan. DataBrew Untuk mendapatkan tampilan tingkat tinggi tentang cara DataBrew dan AWS layanan lain bekerja dengan IAM, lihat AWS Layanan yang Bekerja dengan IAM di Panduan Pengguna IAM.

DataBrew kebijakan berbasis identitas

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, dan juga ketentuan di mana tindakan tersebut diperbolehkan atau ditolak. DataBrew mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi Elemen Kebijakan JSON IAM dalam Panduan Pengguna IAM.

Tindakan

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, kebijakan AWS JSON dapat menentukan prinsipal mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.

Elemen Tindakan kebijakan JSON menjelaskan tindakan yang dapat Anda izinkan atau tolak akses dalam kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama sebagaimana operasi API AWS yang dikaitkan padanya. Ada beberapa pengecualian, misalnya tindakan hanya izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Tindakan kebijakan DataBrew menggunakan awalan berikut sebelum tindakan:databrew:. Misalnya, untuk memberikan izin kepada seseorang untuk menjalankan instans Amazon EC2 dengan operasi API RunInstances Amazon EC2, Anda menyertakan tindakan ec2:RunInstances dalam kebijakan mereka. Pernyataan kebijakan harus mencakup salah satu Action atau NotAction elemen. DataBrew mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengannya.

Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan tindakan dengan koma seperti berikut:

"Action": [ "databrew:CreateRecipeJob", "databrew:UpdateSchedule"

Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut.

"Action": "databrew:Describe*"

Untuk melihat daftar tindakan, lihat DataBrew Tindakan yang Ditentukan oleh AWS Glue DataBrew dalam Panduan Pengguna IAM.

Sumber daya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.

Elemen kebijakan JSON Resource menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

"Resource": "*"

Berikut ini adalah DataBrew API yang tidak mendukung izin tingkat sumber daya:

  • ListDatasets

  • ListJobs

  • ListProjects

  • ListRecipes

  • ListRulesets

  • ListSchedules

Sumber daya DataBrew kumpulan data memiliki Nama Sumber Daya Amazon (ARN) berikut.

arn:${Partition}:databrew:${Region}:${Account}:dataset/${Name}

Untuk informasi selengkapnya tentang format ARN, lihat Nama Sumber Daya Amazon (ARN) dan Ruang Nama AWS Layanan.

Misalnya, untuk menentukan i-1234567890abcdef0 instance dalam pernyataan Anda, gunakan ARN berikut.

"Resource": "arn:aws:databrew:us-east-1:123456789012:dataset/my-chess-dataset"

Untuk menentukan semua instance milik akun tertentu, gunakan wildcard (*).

"Resource": "arn:aws:databrew:us-east-1:123456789012:dataset/*"

Anda tidak dapat melakukan beberapa DataBrew tindakan, seperti untuk membuat sumber daya, pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).

"Resource": "*"

Untuk melihat daftar jenis DataBrew sumber daya dan ARNnya, lihat Sumber Daya yang Ditentukan oleh AWS Glue DataBrew dalam Panduan Pengguna IAM. Untuk mempelajari tindakan mana yang dapat menentukan ARN setiap sumber daya, lihat Tindakan yang Ditentukan oleh AWS Glue DataBrew.

Kunci syarat

DataBrew tidak menyediakan kunci kondisi khusus layanan apa pun, tetapi mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan Pengguna IAM.

Contoh

Untuk melihat contoh kebijakan DataBrew berbasis identitas, lihat. Identity-based contoh kebijakan untuk AWS Glue DataBrew

Resource-based kebijakan di DataBrew

DataBrew tidak mendukung kebijakan berbasis sumber daya.

DataBrew Peran IAM

Peran IAM adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.

Menggunakan kredensyal sementara dengan DataBrew

Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda mendapatkan kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti AssumeRoleatau. GetFederationToken

DataBrew mendukung menggunakan kredensil sementara.

Service-linked peran

Service-linked peran memungkinkan AWS layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Service-linked peran muncul di akun IAM Anda dan dimiliki oleh layanan. Administrator dapat melihat tetapi tidak dapat mengedit izin untuk peran yang terkait dengan layanan.

Memilih peran IAM di DataBrew

Saat membuat sumber daya kumpulan data DataBrew, Anda memilih peran IAM untuk mengizinkan DataBrew akses atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan atau peran terkait layanan, DataBrew berikan daftar peran yang dapat dipilih. Pastikan untuk memilih peran yang memungkinkan akses baca ke bucket atau AWS Glue Data Catalog sumber daya Amazon S3, yang sesuai.