IAM 政策 - AWS Glue
包含用於建立和使用連線的 API 操作的政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM 政策

包含用於建立和使用連線的 API 操作的政策

下列範例政策說明建立和使用 連線所需的 AWS IAM 許可。如果您要建立新角色,請建立包含下列項目的政策:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:ListConnectionTypes",
        "glue:DescribeConnectionType",
        "glue:RefreshOAuth2Tokens",
        "glue:ListEntities",
        "glue:DescribeEntity"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue"
      ],
      "Resource": "*"
    }
  ]
}

該角色必須授予對任務使用的所有資源的存取權,例如 Amazon S3。如果不想使用上述方法,可選擇使用下列受管 IAM 政策。

  • AWSGlueServiceRole – 准許存取各種 AWS Glue 程序代表您執行所需的資源。這些資源包括 AWS Glue Amazon S3、IAM、CloudWatch Logs 和 Amazon EC2。如果您遵循此政策中指定資源的命名慣例,則 AWS Glue 程序具有必要的許可。此政策通常會連接至定義編目程式、工作和開發端點時所指定的角色。

  • AWSGlueConsoleFullAccess – 當政策連接至 的身分使用 AWS 管理主控台時,授予 AWS Glue 資源的完整存取權。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常連接到 AWS Glue 主控台的使用者。

  • SecretsManagerReadWrite – 透過 AWS 管理主控台提供讀取/寫入存取權給 AWS Secrets Manager。注意:這不包括 IAM 動作,因此如果需要輪換組態,請結合 IAMFullAccess

設定 VPC 所需的 IAM 政策/許可

使用 VPC 連線建立 AWS Glue 連線時,需要下列 IAM 許可。如需詳細資訊,請參閱為 AWS Glue建立 IAM 政策

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DeleteNetworkInterface",
        "ec2:DescribeNetworkInterfaces"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}