Concessione di policy gestite da AWS per AWS Glue
Una policy gestita da AWS è una policy autonoma creata e amministrata da AWS. Le policy gestite da AWS sono progettate per fornire autorizzazioni per molti casi d'uso comuni in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tenere presente che le policy gestite da AWS potrebbero non concedere autorizzazioni con privilegi minimi per i casi d'uso specifici perché possono essere utilizzate da tutti i clienti AWS. Consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle policy gestite da AWS. Se AWS aggiorna le autorizzazioni definite in una policy gestita da AWS, l'aggiornamento riguarda tutte le identità principali (utenti, gruppi e ruoli) a cui è collegata la policy. È molto probabile che AWS aggiorni una policy gestita da AWS quando viene lanciato un nuovo Servizio AWS o nuove operazioni API diventano disponibili per i servizi esistenti.
Per ulteriori informazioni, consultare Policy gestite da AWS nella Guida per l'utente di IAM.
Policy gestite da AWS (predefinite) per AWS Glue
AWS gestisce molti casi di utilizzo comune con policy IAM autonome create e amministrate da AWS. Queste policy gestite da AWS concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consultare policy gestite da AWS nella Guida per l'utente di IAM.
Le seguenti policy gestite da AWS, che puoi collegare alle identità nel tuo account, sono specifiche di AWS Glue e sono raggruppate per scenario di caso d'uso:
-
AWSGlueConsoleFullAccess
: concede l'accesso completo alle risorse AWS Glue quando un'identità a cui è associata la policy utilizza la AWS Management Console. Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questa policy è in genere collegata agli utenti della console AWS Glue. -
AWSGlueServiceRole
: concede l'accesso alle risorse che vari processi AWS Glue richiedono per l'esecuzione a tuo nome. Queste risorse includono AWS Glue, Amazon S3, IAM, CloudWatch Logs e Amazon EC2. Se segui la convenzione di denominazione per le risorse specificata in questa policy, i processi AWS Glue dispongono delle autorizzazioni richieste. Questa policy è in genere collegata ai ruoli specificati quando si definiscono crawler, processi ed endpoint di sviluppo. -
AwsGlueSessionUserRestrictedServiceRole
: fornisce l'accesso completo a tutte le risorse AWS Glue, tranne le sessioni. Permette agli utenti di creare e utilizzare solo le sessioni interattive associate all'utente. Questa policy include altre autorizzazioni necessarie ad AWS Glue per gestire le risorse AWS Glue in altri servizi AWS. La policy permette anche l'aggiunta di tag a risorse AWS Glue in altri servizi AWS. Nota
Per ottenere tutti i vantaggi della sicurezza, non concedere questa policy a un utente a cui sia stata assegnata la policy
AWSGlueServiceRole,AWSGlueConsoleFullAccessoAWSGlueConsoleSageMakerNotebookFullAccess. -
AwsGlueSessionUserRestrictedPolicy
: fornisce l'accesso per creare sessioni interattive AWS Glue usando l'operazione dell'API CreateSessionsolo se viene fornita una chiave tag "proprietario" e un valore corrispondente all'ID utente AWS dell'assegnatario. Questa policy di identità è collegata all'utente IAM che richiama l'operazione dell'APICreateSession. Questa policy permette inoltre all'assegnatario di interagire con le risorse di sessione interattive AWS Glue che sono state create con un tag "proprietario" e un valore corrispondente alla sua ID utente AWS. Questa policy nega l'autorizzazione di modificare o rimuovere i tag "proprietario" da una risorsa di sessione AWS Glue dopo la creazione della sessione.Nota
Per ottenere tutti i vantaggi della sicurezza, non concedere questa policy a un utente a cui sia stata assegnata la policy
AWSGlueServiceRole,AWSGlueConsoleFullAccessoAWSGlueConsoleSageMakerNotebookFullAccess. -
awsGlueSessionUserRestrictedNotebookServiceRole
: fornisce un accesso sufficiente alla sessione del notebook AWS Glue Studio per interagire con specifiche risorse della sessione interattiva AWS Glue. Si tratta di risorse create con il valore del tag "proprietario" corrispondente all'ID utente AWS del principale (utente IAM o ruolo) che crea il notebook. Per ulteriori informazioni su questi tag, consulta il grafico Valori della chiave dell'entità principale nella Guida per l'utente IAM. Questa policy del ruolo di servizio viene collegata al ruolo specificato con un comando magic all'interno del notebook o viene passata come ruolo all'operazione
CreateSessiondell'API. Questa policy permette inoltre al principale di creare una sessione interattiva AWS Glue dall'interfaccia AWS Glue Studio Notebook solo se una chiave di tag "proprietario" e il valore corrispondono all'ID utente AWS del principale. Questa policy nega l'autorizzazione di modificare o rimuovere i tag "proprietario" da una risorsa di sessione AWS Glue dopo la creazione della sessione. Questa policy include anche le autorizzazioni per la scrittura e la lettura da bucket Amazon S3, la scrittura di log di CloudWatch, la creazione e l'eliminazione di tag per le risorse Amazon EC2 utilizzate da AWS Glue.Nota
Per ottenere tutti i vantaggi della sicurezza, non concedere questa policy a un ruolo a cui sia stata assegnata la policy
AWSGlueServiceRole,AWSGlueConsoleFullAccessoAWSGlueConsoleSageMakerNotebookFullAccess. -
AwsGlueSessionUserRestrictedNotebookPolicy
: fornisce l'accesso per creare una sessione interattiva AWS Glue dall'interfaccia di AWS Glue Studio Notebook solo se è presente una chiave di tag "proprietario" e un valore corrispondente all'ID utente AWS dell'entità principale (utente IAM o ruolo) che crea il Notebook. Per ulteriori informazioni su questi tag, consulta il grafico Valori della chiave dell'entità principale nella Guida per l'utente IAM. Questa policy è associata al principale (utente o ruolo IAM) che crea sessioni dall'interfaccia AWS Glue Studio notebook. Inoltre, questa policy offre un accesso adeguato al notebook AWS Glue Studio per interagire con specifiche risorse della sessione interattiva AWS Glue. Si tratta di risorse create con il valore del tag "proprietario" che corrisponde all'ID utente AWS del principale. Questa policy nega l'autorizzazione di modificare o rimuovere i tag "proprietario" da una risorsa di sessione AWS Glue dopo la creazione della sessione.
-
AWSGlueServiceNotebookRole
: concede l'accesso a sessioni AWS Glue avviate in un notebook AWS Glue Studio. Questa policy permette di elencare e ottenere informazioni sulla sessione per tutte le sessioni, ma permette solo agli utenti di creare e utilizzare le sessioni contrassegnate con il loro ID utente AWS. Questa policy nega l'autorizzazione di modificare o rimuovere i tag "proprietario" da risorse di sessione AWS Glue taggate con il loro ID AWS. Assegna questa policy all'utente AWS che crea lavori utilizzando l'interfaccia notebook in AWS Glue Studio.
-
AWSGlueConsoleSageMakerNotebookFullAccess
: concede l'accesso completo alle risorse AWS Glue e SageMaker AI quando l'identità a cui è collegata la policy utilizza la AWS Management Console. Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questa policy è in genere allegata agli utenti della console AWS Glue che gestiscono i notebook SageMaker AI. -
AWSGlueSchemaRegistryFullAccess
: concede l'accesso completo alle risorse del registro dello schema di AWS Glue quando l'identità a cui è collegata la policy utilizza la AWS Management Console o la AWS CLI. Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questa policy è in genere allegata agli utenti della console AWS Glue o della AWS CLI che gestiscono il registro dello schema di AWS Glue. -
AWSGlueSchemaRegistryReadonlyAccess
: concede l'accesso in sola lettura alle risorse del registro dello schema di AWS Glue quando un'identità a cui è collegata la policy utilizza la AWS Management Console o la AWS CLI. Se segui la convenzione per la denominazione per le risorse specificate nella policy, gli utenti hanno la piena funzionalità della console. Questa policy è in genere collegata agli utenti della console AWS Glue o della AWS CLI che utilizzano il registro dello schema di AWS Glue.
Nota
Per esaminare queste policy di autorizzazione, accedi alla console IAM ed esegui la ricerca delle policy specifiche.
Puoi anche creare policy IAM personalizzate per concedere le autorizzazioni per operazioni e risorse AWS Glue. Puoi associare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono tali autorizzazioni.
Per creare una connessione con la configurazione VPC utilizzando un ruolo IAM personalizzato, deve disporre delle seguenti azioni di accesso VPC:
secretsmanager:GetSecretValue
secretsmanager:PutSecretValue
secretsmanager:DescribeSecret
ec2:CreateNetworkInterface
ec2:DeleteNetworkInterface
ec2:DescribeNetworkInterfaces
ec2:DescribeSubnets
Aggiornamenti AWS Glue e alle policy gestite da AWS
Visualizza i dettagli sugli aggiornamenti alle policy gestite da AWS per AWS Glue da quando questo servizio ha iniziato a tenere traccia delle modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivi il feed RSS nella pagina della cronologia dei documenti di AWS Glue.
| Modifica | Descrizione | Data |
|---|---|---|
| AwsGlueSessionUserRestrictedNotebookPolicy: aggiornamento secondario a una policy esistente. | Aggiungere l'azione consenti per glue:TagResource sulla chiave tag proprietario. Necessario per il supporto di tag-on-create per le sessioni con la chiave tag proprietario. |
30 agosto 2024 |
| AwsGlueSessionUserRestrictedNotebookServiceRole: aggiornamento secondario a una policy esistente. | Aggiungere l'azione consenti per glue:TagResource sulla chiave tag proprietario. Necessario per il supporto di tag-on-create per le sessioni con la chiave tag proprietario. |
30 agosto 2024 |
| AwsGlueSessionUserRestrictedPolicy: aggiornamento secondario a una policy esistente. | Aggiungere l'azione consenti per glue:TagResource sulla chiave tag proprietario. Necessario per il supporto di tag-on-create per le sessioni con la chiave tag proprietario. |
5 agosto 2024 |
| AwsGlueSessionUserRestrictedServiceRole: aggiornamento secondario a una policy esistente. | Aggiungere l'azione consenti per glue:TagResource sulla chiave tag proprietario. Necessario per il supporto di tag-on-create per le sessioni con la chiave tag proprietario. |
5 agosto 2024 |
| AwsGlueSessionUserRestrictedPolicy: aggiornamento secondario a una policy esistente. | Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione di dati AWS Glue per Amazon Q. |
30 aprile 2024 |
| AwsGlueSessionUserRestrictedNotebookServiceRole: aggiornamento secondario a una policy esistente. | Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione di dati AWS Glue per Amazon Q. |
30 aprile 2024 |
| AwsGlueSessionUserRestrictedServiceRole: aggiornamento secondario a una policy esistente. | Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione di dati AWS Glue per Amazon Q. |
30 aprile 2024 |
| AWSGlueServiceNotebookRole: aggiornamento secondario a una policy esistente. | Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione di dati AWS Glue per Amazon Q. |
30 gennaio 2024 |
| AwsGlueSessionUserRestrictedNotebookPolicy: aggiornamento secondario a una policy esistente. | Aggiungi glue:StartCompletion e glue:GetCompletion alla policy. Necessario per l'integrazione di dati AWS Glue per Amazon Q. |
29 novembre 2023 |
| AWSGlueServiceNotebookRole: aggiornamento secondario a una policy esistente. | Aggiungi codewhisperer:GenerateRecommendations alla policy. Richiesto per una nuova funzionalità in cui AWS Glue genera suggerimenti CodeWhisperer. |
9 ottobre 2023 |
|
AWSGlueServiceRole: aggiornamento secondario a una policy esistente. |
Restringi l'ambito delle autorizzazioni di CloudWatch per riflettere meglio la registrazione di AWS Glue. | 4 agosto 2023 |
|
AWSGlueConsoleFullAccess: aggiornamento secondario a una policy esistente. |
Aggiungi le autorizzazioni Elenca e Descrivi per le ricette databrew alla policy. Necessario per fornire l'accesso amministrativo completo alle nuove funzionalità in cui AWS Glue può accedere alle ricette. |
9 maggio 2023 |
|
AWSGlueConsoleFullAccess: aggiornamento secondario a una policy esistente. |
Aggiungi cloudformation:ListStacks alla policy. Conserva le funzionalità esistenti dopo le modifiche ai requisiti di autorizzazione di AWS CloudFormation. |
28 marzo 2023 |
|
Aggiunte nuove policy gestite per la funzionalità sessioni interattive:
|
Queste policy sono state progettate per fornire ulteriore sicurezza per le sessioni interattive e i notebook in AWS Glue Studio. Le policy limitano l'accesso all'operazione dell'API |
30 novembre 2021 |
|
AWSGlueConsoleSageMakerNotebookFullAccess: aggiornamento a una policy esistente. |
Rimosso una risorsa ARN ridondante ( Risolto un problema di sintassi modificando |
15 luglio 2021 |
|
AWSGlueConsoleFullAccess: aggiornamento a una policy esistente. |
Rimosso una risorsa ARN ridondante (arn:aws:s3:::aws-glue-*/*) per l'operazione che concede le autorizzazioni di lettura/scrittura sui bucket Amazon S3 che AWS Glue utilizza per archiviare script e file temporanei. |
15 luglio 2021 |
|
AWS Glue ha iniziato il rilevamento delle modifiche. |
AWS Glue ha iniziato il rilevamento delle modifiche per le relative policy gestite da AWS. | 10 giugno 2021 |
