Permissões do IAM necessárias para conexões definidas por administradores Permissões do IAM necessárias para conexões definidas por usuários Ajuste o acesso aos AWS recursos com permissões granulares de ARN

Configurar as permissões do IAM para acessar as fontes de dados (para administradores)

Os administradores devem garantir que a função de execução usada pelos JupyterLab aplicativos tenha as permissões necessárias do AWS IAM para acessar os dados por meio das AWS Glue conexões configuradas.

Conexões criadas por administradores usando o AWS CLI: Para visualizar as AWS Glue conexões criadas pelos administradores e acessar seus dados, os usuários precisam que o administrador atribua permissões específicas à função de execução de SageMaker IA usada pelo JupyterLab aplicativo no Studio. Isso inclui acesso ao AWS Glue Secrets Manager e permissões específicas do banco de dados. As conexões criadas por administradores são visíveis para todos as aplicações que compartilham um perfil de execução que recebeu as permissões para visualizar bancos de dados ou catálogos específicos do AWS Glue. Para saber mais sobre a lista de permissões necessárias por tipo de fonte de dados, consulte as permissões de conexões definidas por administradores em Permissões do IAM necessárias para conexões definidas por administradores.
Conexões criadas por usuários usando a interface de usuário da extensão SQL em JupyterLab: As conexões criadas por perfis de usuário que compartilham a mesma função de execução também serão listadas, a menos que a visibilidade de suas conexões seja reduzida apenas às criadas pelo usuário. As conexões criadas por usuários são marcadas com o perfil do usuário que as criou. Para restringir a capacidade de visualizar, atualizar ou excluir essas conexões criadas por usuários somente ao usuário que as criou, os administradores podem adicionar outras restrições de controle de acesso com base em tags às permissões do IAM do perfil de execução. Para saber qual controle de acesso baseado em tags adicional é necessário, consulte Permissões do IAM necessárias para conexões definidas por usuários.

Permissões do IAM necessárias para conexões definidas por administradores

Para conceder à função de execução de SageMaker IA usada por seu JupyterLab aplicativo no Studio acesso a uma fonte de dados por meio de uma AWS Glue conexão, anexe a seguinte política embutida à função.

Para ver as permissões específicas e os detalhes da política para cada fonte de dados ou método de autenticação, escolha o tipo de conexão pertinente abaixo.

nota

Recomendamos limitar as permissões da sua política para somente recursos e ações necessários.

Para definir o escopo das políticas e conceder acesso com privilégios mínimos, substitua o curinga "Resource": ["*"] em sua política por um específico ARNs para os recursos exatos que precisam de acesso. Para obter mais informações sobre como controlar o acesso aos seus recursos, consulte Ajuste o acesso aos AWS recursos com permissões granulares de ARN.

nota

É altamente recomendável definir o escopo dessa política apenas para as ações e os recursos necessários.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "GetS3AndDataSourcesMetadata",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabases",
                "glue:GetSchema",
                "glue:GetTables",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation",
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:ListSchemas",
                "glue:GetPartitions"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:glue:us-east-1:111122223333:catalog",
    "arn:aws:glue:us-east-1:111122223333:connection/*"
            ]
        },
        {
            "Sid": "ExecuteQueries",
            "Effect": "Allow",
            "Action": [
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata",
                "athena:StartQueryExecution",
                "athena:GetQueryExecution",
                "athena:RunQuery",
                "athena:StartSession",
                "athena:GetQueryResults",
                "athena:ListWorkGroups",
                "s3:ListMultipartUploadParts",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "athena:GetDataCatalog",
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject",
                "athena:GetWorkGroup"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:athena:us-east-1:111122223333:workgroup/workgroup-name"
            ]
        },
        {
            "Sid": "GetGlueConnections",
            "Effect": "Allow",
            "Action": [
                "glue:GetConnections",
                "glue:GetConnection"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:catalog",
                "arn:aws:glue:us-east-1:111122223333:connection/*"
            ]
        },
        {
            "Sid": "GetSecrets",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-name"
            ]
        },
        {
            "Sid": "GetClusterCredentials",
            "Effect": "Allow",
            "Action": [
                "redshift:GetClusterCredentials"
            ],
            "Resource": [
                "arn:aws:redshift:us-east-1:111122223333:cluster:cluster-name"
            ]
        }
    ]
}

nota

É altamente recomendável definir o escopo dessa política apenas para os recursos necessários.

Para obter mais informações, consulte Exemplos de políticas de permissões do IAM em Documentação do Athena.

JSON


{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "GetS3AndDataSourcesMetadata",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabases",
                "glue:GetSchema",
                "glue:GetTables",
                "s3:ListBucket",
                "s3:GetObject",
                "s3:GetBucketLocation",
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:ListSchemas",
                "glue:GetPartitions"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",                
                "arn:aws:glue:us-east-2:111122223333:catalog",
                "arn:aws:glue:us-east-2:111122223333:connection/*"
            ]
        },
        {
            "Sid": "ExecuteAthenaQueries",
            "Effect": "Allow",
            "Action": [
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata",
                "athena:StartQueryExecution",
                "athena:GetQueryExecution",
                "athena:RunQuery",
                "athena:StartSession",
                "athena:GetQueryResults",
                "athena:ListWorkGroups",
                "s3:ListMultipartUploadParts",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "athena:GetDataCatalog",
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject",
                "athena:GetWorkGroup"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:athena:us-east-2:111122223333:workgroup/workgroup-name"
            ]
        },
        {
            "Sid": "GetGlueConnections",
            "Effect": "Allow",
            "Action": [
                "glue:GetConnections",
                "glue:GetConnection"
            ],
            "Resource": [
                "arn:aws:glue:us-east-2:111122223333:catalog",
                "arn:aws:glue:us-east-2:111122223333:connection/*"
            ]
        },
        {
            "Sid": "GetSecrets",
            "Effect": "Allow",
            "Action": [                
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:111122223333:secret:secret-name"       
            ]
        }
    ]
}

nota

É altamente recomendável definir o escopo dessa política apenas para os recursos necessários.

nota

É altamente recomendável definir o escopo dessa política apenas para os recursos necessários.

nota

É altamente recomendável definir o escopo dessa política apenas para os recursos necessários.

Permissões do IAM necessárias para conexões definidas por usuários

As permissões da política do IAM para um usuário podem explicar a presença da UserProfile tag nos recursos de AWS Glue conexão.

Para visualizar AWS Glue as conexões:
- Os usuários podem visualizar todas as conexões que não têm a tag UserProfile (criadas por um administrador).
- Os usuários podem visualizar as conexões que têm a tag UserProfile com o mesmo valor do nome do perfil do usuário.
- Os usuários não podem visualizar as conexões que têm a tag UserProfile com um valor diferente do nome do perfil do usuário.
Para atualizar ou excluir AWS Glue conexões:
- Os usuários podem atualizar ou excluir uma conexão que tem a tag UserProfile com o mesmo valor do nome do perfil do usuário.
- Os usuários não podem atualizar ou excluir uma conexão que tem a tag UserProfile com o mesmo valor do nome do perfil do usuário.
- Os usuários não podem atualizar ou excluir conexões que não tenham a tag UserProfile.

Para isso, os administradores devem conceder à função de execução usada pelo JupyterLab aplicativo do perfil de usuário permissões adicionais além das permissões de conexões existentes definidas pelo administrador. Especificamente, além das permissões necessárias para acessar AWS Glue conexões definidas pelo administrador, as duas permissões adicionais do IAM a seguir devem ser concedidas à função de execução do usuário:

Permissão para criar AWS Glue conexões e associar a UserProfile tag ao valor do nome do perfil do usuário.
Permissão para visualizar, atualizar e excluir AWS Glue conexões que tenham a UserProfile tag correspondente ao nome do perfil do usuário.

Essa permissão restringe o acesso às AWS Glue conexões com base em um valor específico da tag do perfil do usuário. Atualize o valor da tag UserProfile com o nome do perfil do usuário que você deseja segmentar.


"Action": [
    "glue:GetConnection",
    "glue:GetConnections"    
],
"Resource": [
    "arn:aws:glue:region:account_id:connection/*"
],
"Condition": {
    "StringEqualsIfExists": {
        "aws:ResourceTag/UserProfile": "user_profile_name"
    }
}

Essa permissão restringe a capacidade de criar, atualizar e excluir conexões criadas pelo usuário somente às conexões criadas pelo perfil de usuário com o valor de tag UserProfile especificado.


"Action": [
    "glue:DeleteConnection",
    "glue:UpdateConnection",
    "glue:CreateConnection",
    "glue:TagResource"
],
"Resource": [
    "arn:aws:glue:region:account_id:connection/*"
],
"Condition": {
    "StringEquals": {
        "aws:ResourceTag/UserProfile": "user_profile"
    }
}

Ajuste o acesso aos AWS recursos com permissões granulares de ARN

Para um controle mais refinado sobre o acesso aos seus AWS recursos, substitua o recurso curinga "Resource": ["*"] em suas políticas pelos nomes de recursos específicos da Amazon (ARNs) somente dos recursos que exigem acesso. Usar o caractere exato ARNs em vez de um curinga restringe o acesso aos recursos pretendidos.

Use um bucket específico do Amazon S3 ARNs

Por exemplo, "arn:aws:s3:::bucket-name" ou "arn:aws:s3:::bucket-name/*" para operações em nível de bucket ou em nível de objeto.

Para obter informações sobre todos os tipos de recursos no Amazon S3, consulte Tipos de recursos definidos pelo Amazon S3.
Use banco de AWS Glue dados específico ARNs

Por exemplo, "arn:aws:glue:region:account-id:catalog" ou "arn:aws:glue:region:account-id:database/db-name". Para obter informações sobre todos os tipos de recursos emAWS Glue, consulte Tipos de recursos definidos por AWS Glue.
Use um grupo de trabalho específico do Athena ARNs

Por exemplo, "arn:aws:athena:region:account-id:workgroup/workgroup-name". Para obter informações sobre todos os tipos de recursos no Athena, consulte Tipos de recursos definidos pelo Athena.
Use um AWS segredo específico do Secrets Manager ARNs

Por exemplo, "arn:aws:secretsmanager:region:account-id:secret:secret-name". Para obter informações sobre todos os tipos de recursos no AWS Secrets Manager, consulte Tipos de recursos definidos pelo AWS Secrets Manager
Use um cluster específico do Amazon Redshift ARNs

Por exemplo, "arn:aws:redshift:region:account-id:cluster:cluster-name". Para obter informações sobre os tipos de recursos no Amazon Redshift, consulte Tipos de recursos definidos pelo Amazon Redshift. Para obter informações sobre todos os tipos de recursos no Redshift Serverless, consulte Tipos de recursos definidos pelo Redshift Serverless.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar conexões definidas pelo usuário

FAQs