針對 AWS Glue 授予 AWS 受管政策
AWS 管理的政策是由 AWS 建立和管理的獨立政策。AWS 管理的政策的設計在於為許多常見使用案例提供許可,如此您就可以開始將許可指派給使用者、群組和角色。
請謹記,AWS 管理的政策可能不會授予您特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法更改 AWS 管理的政策中定義的許可。如果 AWS 更新 AWS 管理的政策中定義的許可,更新會影響政策連接的所有主體身分 (使用者、群組和角色)。在推出新的 AWS 服務 或有新的 API 操作可供現有服務使用時,AWS 很可能會更新 AWS 管理的政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS Glue 的 AWS 受管 (預先定義) 政策
AWS 透過提供獨立的 IAM 政策來解決許多常用案例,這些政策由 AWS 所建立與管理。這些 AWS 受管政策授予常見使用案例的必要許可,讓您免於查詢需要哪些許可。如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
您可以連接至帳戶中身分的下列 AWS 受管政策,為 AWS Glue 特有並會依使用案例加以群組:
-
AWSGlueConsoleFullAccess
– 當連接政策的身分使用 AWS Management Console 時,授予對 AWS Glue 資源的完整存取權。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常會連接至 AWS Glue 主控台的使用者。 -
AWSGlueServiceRole
– 允許存取多個 AWS Glue 程序代表您執行時所需的資源。這些資源包括 AWS Glue、Amazon S3、IAM、CloudWatch Logs 和 Amazon EC2。如果您依照此政策中指定的資源命名慣例,AWS Glue 程序就能擁有必要的許可。此政策通常會連接至定義編目程式、工作和開發端點時所指定的角色。 -
AwsGlueSessionUserRestrictedServiceRole
– 提供所有 AWS Glue 資源的完整存取 (工作階段除外)。其允許使用者建立並僅使用與使用者相關聯的互動式工作階段。此政策包含 AWS Glue 管理其他 AWS 服務中 AWS Glue 資源所需的其他許可。此政策也允許將標籤新增至其他 AWS 服務中的 AWS Glue 資源。 注意
若要達到完整的安全性優點,請勿將此政策授予已指派
AWSGlueServiceRole、AWSGlueConsoleFullAccess或AWSGlueConsoleSageMakerNotebookFullAccess政策的使用者。 -
AwsGlueSessionUserRestrictedPolicy
– 僅當提供符合受託人之 AWS 使用者 ID 的標籤索引鍵「擁有者」和值時,提供存取權以使用 CreateSessionAPI 操作建立 AWS Glue 互動式工作階段。此身分政策連接至叫用CreateSessionAPI 操作的 IAM 使用者。此政策也允許受託人與 AWS Glue 互動式工作階段資源進行互動,使用「擁有者」標籤和與其 AWS 使用者 ID 相符的值建立這些工作階段。建立工作階段之後,此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。注意
若要達到完整的安全性優點,請勿將此政策授予已指派
AWSGlueServiceRole、AWSGlueConsoleFullAccess或AWSGlueConsoleSageMakerNotebookFullAccess政策的使用者。 -
AwsGlueSessionUserRestrictedNotebookServiceRole
– 提供足夠的 AWS Glue Studio 筆記本工作階段存取權,以便與特定的 AWS Glue 互動式工作階段資源互動。這些是使用與建立筆記本之主體 (IAM 使用者或角色) 的 AWS 使用者 ID 相符的「擁有者」標籤值建立的資源。如需這些標籤的詳細資訊,請參閱《IAM 使用者指南》中的主體鍵值圖表。 此服務角色政策會連接至筆記本內使用神奇代碼命令指定的角色,或作為角色傳遞給
CreateSessionAPI 操作。只有在標籤鍵「擁有者」和值符合主體的 AWS 使用者 ID 時,此政策允許主體從 AWS Glue Studio 筆記本介面建立 AWS Glue 互動式工作階段。建立工作階段之後,此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。此政策還包括從 Amazon S3 儲存貯體寫入和讀取、寫入 CloudWatch 日誌,以及為 AWS Glue 使用的 Amazon EC2 資源建立和刪除標籤的許可。注意
若要達到完整的安全性優點,請勿將此政策授予已指派
AWSGlueServiceRole、AWSGlueConsoleFullAccess或AWSGlueConsoleSageMakerNotebookFullAccess政策的角色。 -
AwsGlueSessionUserRestrictedNotebookPolicy
– 只有在標籤鍵「擁有者」和值符合建立筆記本之主體 (IAM 使用者或角色) 的 AWS 使用者 ID 時,提供存取權以從 AWS Glue Studio 筆記本介面建立 AWS Glue 互動式工作階段。如需這些標籤的詳細資訊,請參閱《IAM 使用者指南》中的主體鍵值圖表。 此政策會連接至從 AWS Glue Studio 筆記本介面建立工作階段的主體 (IAM 使用者或角色)。此政策還允許足夠的 AWS Glue Studio 筆記本存取權,以便與特定的 AWS Glue 互動式工作階段資源互動。這些是使用與主體的 AWS 使用者 ID 相符的「擁有者」標籤值建立的資源。建立工作階段之後,此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。
-
AWSGlueServiceNotebookRole
– 授予在 AWS Glue Studio 筆記本中啟動之 AWS Glue 工作階段的存取權。此政策允許列出和取得所有工作階段的工作階段資訊,但只允許使用者建立和使用標記為 AWS 使用者 ID 的工作階段。此政策拒絕變更或移除 AWS Glue 工作階段資源的「擁有者」標籤的許可,這些資源以其 AWS ID 標記。 將此政策指派給使用 AWS Glue Studio 中筆記本介面建立任務的 AWS 使用者。
-
AWSGlueConsoleSageMakerNotebookFullAccess
– 當連接政策的身分使用 AWS Management Console 時授予 AWS Glue 和 SageMaker AI 資源的完整存取權。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常會連接到管理 SageMaker AI 筆記本的 AWS Glue 主控台使用者。 -
AWSGlueSchemaRegistryFullAccess
– 當連接政策的身分使用 AWS Management Console 或 AWS CLI 時,授予對 AWS Glue 結構描述登錄檔資源的完整存取權。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常會連接到 AWS Glue 主控台使用者或管理 AWS Glue 結構描述登錄檔的 AWS CLI。 -
AWSGlueSchemaRegistryReadonlyAccess
– 當連接政策的身分使用 AWS Management Console 或 AWS CLI 時,授予對 AWS Glue 結構描述登錄檔資源的唯讀存取權。如果您依照此政策中指定的資源命名慣例,使用者就能擁有完整的主控台功能。此政策通常會連接到 AWS Glue 主控台的使用者或使用 AWS Glue 結構描述登錄檔的 AWS CLI。
注意
您可以登入 IAM 主控台並在該處搜尋特定政策,來檢閱這些許可政策。
您也可以建立自己的自訂 IAM 政策,以允許 AWS Glue 動作與資源的許可。您可以將這些自訂政策連接至需要這些許可的 IAM 使用者或群組。
若要在使用自訂 IAM 角色時建立與 VPC 組態的連線,其必須具有下列 VPC 存取動作:
secretsmanager:GetSecretValue
secretsmanager:PutSecretValue
secretsmanager:DescribeSecret
ec2:CreateNetworkInterface
ec2:DeleteNetworkInterface
ec2:DescribeNetworkInterfaces
ec2:DescribeSubnets
AWS 受管政策的 AWS Glue 更新項目
檢視 AWS Glue 自其開始追蹤變更以來的 AWS 受管政策更新詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 AWS Glue 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
| AwsGlueSessionUserRestrictedNotebookPolicy:現有政策的次要更新。 | 新增允許對擁有者標籤金鑰執行 glue:TagResource 動作。對於具有擁有者標籤金鑰的工作階段,需要支援 tag-on-create。 |
2024 年 8 月 30 日 |
| AwsGlueSessionUserRestrictedNotebookServiceRole – 現有政策的小幅更新。 | 新增允許對擁有者標籤金鑰執行 glue:TagResource 動作。對於具有擁有者標籤金鑰的工作階段,需要支援 tag-on-create。 |
2024 年 8 月 30 日 |
| AwsGlueSessionUserRestrictedPolicy – 現有政策的小幅更新。 | 新增允許對擁有者標籤金鑰執行 glue:TagResource 動作。對於具有擁有者標籤金鑰的工作階段,需要支援 tag-on-create。 |
2024 年 8 月 5 日 |
| AwsGlueSessionUserRestrictedServiceRole – 現有政策的小幅更新。 | 新增允許對擁有者標籤金鑰執行 glue:TagResource 動作。對於具有擁有者標籤金鑰的工作階段,需要支援 tag-on-create。 |
2024 年 8 月 5 日 |
| AwsGlueSessionUserRestrictedPolicy – 現有政策的小幅更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。AWS Glue 中需要 Amazon Q 資料整合。 |
2024 年 4 月 30 日 |
| AwsGlueSessionUserRestrictedNotebookServiceRole – 現有政策的小幅更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。AWS Glue 中需要 Amazon Q 資料整合。 |
2024 年 4 月 30 日 |
| AwsGlueSessionUserRestrictedServiceRole – 現有政策的小幅更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。AWS Glue 中需要 Amazon Q 資料整合。 |
2024 年 4 月 30 日 |
| AWSGlueServiceNotebookRole – 現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。AWS Glue 中需要 Amazon Q 資料整合。 |
2024 年 1 月 30 日 |
| AwsGlueSessionUserRestrictedNotebookPolicy:現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。AWS Glue 中需要 Amazon Q 資料整合。 |
2023 年 11 月 29 日 |
| AWSGlueServiceNotebookRole – 現有政策的次要更新。 | 將 codewhisperer:GenerateRecommendations 新增至政策。對 AWS Glue 產生 CodeWhisperer 建議的新功能而言,此為必要項。 |
2023 年 10 月 9 日 |
|
AWSGlueServiceRole:現有政策的次要更新。 |
收緊 CloudWatch 許可的範圍,以更好地反映 AWS Glue 記錄。 | 2023 年 8 月 4 日 |
|
AWSGlueConsoleFullAccess:現有政策的次要更新。 |
將 databrew 配方清單和描述許可新增至政策。需要為 AWS Glue 可存取配方的新功能提供完整的管理存取權。 |
2023 年 5 月 9 日 |
|
AWSGlueConsoleFullAccess:現有政策的次要更新。 |
將 cloudformation:ListStacks 新增至政策。在 AWS CloudFormation 授權需求變更後保留現有功能。 |
2023 年 3 月 28 日 |
|
為互動式工作階段功能新增新的受管政策︰
|
這些政策的設計目的是為 AWS Glue Studio 中的互動式工作階段和筆記本提供更多的安全性。這些政策限制對 |
2021 年 11 月 30 日 |
|
AWSGlueConsoleSageMakerNotebookFullAccess - 更新現有政策。 |
針對 AWS Glue 用於存放指令碼和臨時檔案的 Amazon S3 儲存貯體上授予讀取/寫入許可的動作,移除了冗餘資源 ARN ( 修正語法問題,方法是將 |
2021 年 7 月 15 日 |
|
AWSGlueConsoleFullAccess - 更新現有政策。 |
針對 arn:aws:s3:::aws-glue-*/* 用於存放指令碼和臨時檔案的 Amazon S3 儲存貯體上授予讀取/寫入許可的動作,移除了冗餘資源 ARN (AWS Glue)。 |
2021 年 7 月 15 日 |
|
AWS Glue 已開始追蹤變更。 |
AWS Glue 已開始追蹤其 AWS 管理的政策的變更。 | 2021 年 6 月 10 日 |
