Esaminare le autorizzazioni IAM necessarie per l'utente AWS Glue Studio - AWS Glue
Autorizzazioni di servizio AWS GlueCreazione di criteri IAM personalizzati per AWS Glue Studio Accesso a AWS Glue Studio APIs Autorizzazioni per notebook e anteprima datiAutorizzazioni di Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esaminare le autorizzazioni IAM necessarie per l'utente AWS Glue Studio

Per utilizzareAWS Glue Studio, l'utente deve avere accesso a varie AWS risorse. L'utente deve essere in grado di visualizzare e selezionare i bucket Amazon S3, le policy e i ruoli IAM e gli oggetti AWS Glue Data Catalog.

Autorizzazioni di servizio AWS Glue

AWS Glue Studio utilizza le operazioni e le risorse del servizio AWS Glue. Per utilizzare in modo efficace AWS Glue Studio, l'utente ha bisogno delle autorizzazioni per tali operazioni e risorse. È possibile concedere all'utente di AWS Glue Studio la policy gestita da AWSGlueConsoleFullAccess oppure creare una policy personalizzata con un set di autorizzazioni più piccolo.

Importante

In base alle best practice di sicurezza, si consiglia di limitare l'accesso rafforzando le policy per limitare ulteriormente l'accesso al bucket Amazon S3 e ai gruppi di log Amazon CloudWatch . Per un esempio di policy Amazon S3, consulta la pagina relativa alla scrittura di policy IAM per concedere l'accesso a un bucket Amazon S3.

Creazione di criteri IAM personalizzati per AWS Glue Studio

È possibile creare una policy personalizzata con un set di autorizzazioni più piccolo per AWS Glue Studio. La policy può concedere autorizzazioni per un sottoinsieme di oggetti o operazioni. Durante la creazione di una policy personalizzata, utilizza le seguenti informazioni.

Per utilizzare il AWS Glue Studio APIs, includi glue:UseGlueStudio nella policy d'azione le tue autorizzazioni IAM. L'utilizzo di glue:UseGlueStudio ti permetterà di accedere a tutte le operazioni di AWS Glue Studio anche quando più operazioni vengono aggiunte all'API nel tempo.

Per ulteriori informazioni sulle azioni definite da AWS Glue, consulta Azioni definite da AWS Glue.

Preparazione dei dati e creazione di azioni.

  • SendRecipeAction

  • GetRecipeAction

Operazioni del grafo aciclico orientato (DAG)

  • CreateDag

  • UpdateDag

  • GetDag

  • DeleteDag

Operazioni di processo

  • SaveJob

  • GetJob

  • CreateJob

  • DeleteJob

  • GetJobs

  • UpdateJob

Opzione di esecuzione del processo

  • StartJobRun

  • GetJobRuns

  • BatchStopJobRun

  • GetJobRun

  • QueryJobRuns

  • QueryJobs

  • QueryJobRunsAggregated

Operazioni dello schema

  • GetSchema

  • GetInferredSchema

Operazioni del database

  • GetDatabases

Operazioni del piano

  • GetPlan

Operazioni della tabella

  • SearchTables

  • GetTables

  • GetTable

Operazioni di connessione

  • CreateConnection

  • DeleteConnection

  • UpdateConnection

  • GetConnections

  • GetConnection

Operazioni di mappatura

  • GetMapping

Operazioni proxy S3

  • ListBuckets

  • ListObjectsV2

  • GetBucketLocation

Operazioni di configurazione di sicurezza

  • GetSecurityConfigurations

Operazioni di script

  • CreateScript (diverso dall'API con lo stesso nome inAWS Glue)

Accesso a AWS Glue Studio APIs

Per accedere a AWS Glue Studio, aggiungi glue:UseGlueStudio nell'elenco delle policy delle operazioni nelle autorizzazioni IAM.

Nell'esempio seguente, glue:UseGlueStudio è inclusa nella politica d'azione, ma non è identificata individualmente. AWS Glue Studio APIs Questo perché quando lo includiglue:UseGlueStudio, ti viene automaticamente concesso l'accesso all'area interna APIs senza dover specificare l'individuo AWS Glue Studio APIs nelle autorizzazioni IAM.

Nell'esempio, le politiche d'azione aggiuntive elencate (ad esempio,glue:SearchTables) non lo sono AWS Glue Studio APIs, quindi dovranno essere incluse nelle autorizzazioni IAM come richiesto. Potresti inoltre includere operazioni Amazon S3 Proxy per specificare il livello di accesso Amazon S3 da concedere. La policy di esempio riportata di seguito fornisce l'accesso a openAWS Glue Studio, la creazione di un job visivo e, save/run se il ruolo IAM selezionato dispone di un accesso sufficiente.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "glue:UseGlueStudio",
                "iam:ListRoles",
                "iam:ListUsers",
                "iam:ListGroups",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "glue:SearchTables",
                "glue:GetConnections",
                "glue:GetJobs",
                "glue:GetTables",
                "glue:BatchStopJobRun",
                "glue:GetSecurityConfigurations",
                "glue:DeleteJob",
                "glue:GetDatabases",
                "glue:CreateConnection",
                "glue:GetSchema",
                "glue:GetTable",
                "glue:GetMapping",
                "glue:CreateJob",
                "glue:DeleteConnection",
                "glue:CreateScript",
                "glue:UpdateConnection",
                "glue:GetConnection",
                "glue:StartJobRun",
                "glue:GetJobRun",
                "glue:UpdateJob",
                "glue:GetPlan",
                "glue:GetJobRuns",
                "glue:GetTags",
                "glue:GetJob",
                "glue:QueryJobRuns",
                "glue:QueryJobs",
                "glue:QueryJobRunsAggregated",
                "glue:SendRecipeAction",
                "glue:GetRecipeAction"
            ],
            "Resource": "*"
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": [
                        "glue.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Autorizzazioni per notebook e anteprima dati

Le anteprime dei dati e i notebook consentono di visualizzare un campione dei dati in qualsiasi fase del processo (lettura, trasformazione, scrittura), senza doverlo eseguire. È necessario specificare un ruolo AWS Identity and Access Management (IAM) AWS Glue Studio da utilizzare per l'accesso ai dati. I ruoli IAM sono destinati ad essere prevedibili e non hanno credenziali standard a lungo termine come una password o chiavi d'accesso associate ad esso. Invece, quando AWS Glue Studio assume il ruolo, IAM fornisce credenziali di sicurezza temporanee.

Per garantire che le anteprime dei dati e i comandi del notebook funzionino correttamente, usa un ruolo con un nome che inizia con la stringa AWSGlueServiceRole. Se decidi di usare un altro nome per il ruolo, dovrai aggiungere l'autorizzazione iam:passrole e configurare una policy per il ruolo in IAM. Per ulteriori informazioni, consulta Crea una policy IAM per i ruoli non denominati "AWSGlueServiceRole*».

avvertimento

Se un ruolo concede l'autorizzazione iam:passrole per un notebook e tu implementi il concatenamento dei ruoli, un utente potrebbe ottenere involontariamente l'accesso al notebook. Al momento non è implementato alcun controllo che permetta di monitorare a quali utenti sia stato concesso l'accesso al notebook.

Se desideri negare a un'identità IAM la possibilità di creare sessioni di anteprima dei dati, consulta l'esempio di Negare a un'identità la possibilità di creare sessioni di anteprima dei dati seguente.

Autorizzazioni di Amazon CloudWatch

Puoi monitorare i tuoi AWS Glue Studio lavori utilizzando Amazon CloudWatch, che raccoglie ed elabora dati grezzi AWS Glue trasformandoli in metriche leggibili. near-real-time Per impostazione predefinita, i dati AWS Glue delle metriche vengono inviati automaticamente a. CloudWatch Per ulteriori informazioni, consulta What Is Amazon CloudWatch? nella Amazon CloudWatch User Guide e AWS GlueMetrics nella AWS Glue Developer Guide.

Per accedere alle CloudWatch dashboard, l'utente che accede AWS Glue Studio deve disporre di uno dei seguenti elementi:

  • La policy AdministratorAccess

  • La policy CloudWatchFullAccess

  • Una policy personalizzata che includa una o più di queste autorizzazioni specifiche:

    • cloudwatch:GetDashboard e cloudwatch:ListDashboards per visualizzare i pannelli di controllo

    • cloudwatch:PutDashboard per creare o modificare i pannelli di controllo

    • cloudwatch:DeleteDashboards per eliminare i pannelli di controllo

Per ulteriori informazioni sulla modifica delle autorizzazioni per un utente IAM utilizzando le policy, consulta Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente IAM.