# AWS Glue の AWS マネージドポリシーの付与
<a name="security-iam-awsmanpol"></a>

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

## AWS Glue の AWS マネージド (事前定義) ポリシー
<a name="access-policy-examples-aws-managed"></a>

AWS は、AWS によって作成され管理されるスタンドアロンの IAM ポリシーを提供することで、多くの一般的ユースケースに対応します。これらの AWS 管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与することで、どの権限が必要なのかをユーザーが調査する必要をなくすことができます。詳細については、*IAM ユーザーガイド*の [AWS管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)を参照してください。

次の AWS マネージドポリシーはアカウントのアイデンティティにアタッチすることができ、AWS Glue に固有で、ユースケースのシナリオ別にグループ化されています。
+ [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess) — ポリシーがアタッチされているアイデンティティが AWS マネジメントコンソール を使用するときは、AWS Glue リソースへのフルアクセスを許可します。このポリシーで指定されたリソースの命名規則に従った場合、ユーザーは完全なコンソール機能を使用できます。このポリシーは、通常 AWS Glue コンソールのユーザーにアタッチされています。
+ [AWSGlueServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole) – さまざまな AWS Glue プロセスを実行するために必要なリソースへのアクセス権をユーザーに代わって付与します。これらのリソースには AWS Glue 、Amazon S3、IAM、CloudWatch Logs、Amazon EC2 が含まれます。このポリシーで指定されたリソースの命名規則に従った場合、AWS Glue プロセスは必要なアクセス許可を使用できます。このポリシーは、通常、クローラー、ジョブ、開発エンドポイントを定義するときに指定されたロールにアタッチされます。
+ [AwsGlueSessionUserRestrictedServiceRole](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam::aws:policy%2Fservice-role%2FAwsGlueSessionUserRestrictedServiceRole) — セッションを除くすべての AWS Glue リソースへのフルアクセスを許可します。ユーザーに、自分に関連付けられたインタラクティブセッションのみ、作成と使用を許可します。このポリシーには、AWS Glue が他の AWS サービスで AWS Glue リソースを管理する際に必要になる他のアクセス権限が含まれています。このポリシーでは、その他の AWS Glue リソースの AWS サービスへのタグの追加も許可されます。
**注記**  
セキュリティ上のメリットを最大限に引き出すには、`AWSGlueServiceRole`、`AWSGlueConsoleFullAccess`、または `AWSGlueConsoleSageMakerNotebookFullAccess` のポリシーが割り当てられたユーザーにはこのポリシーを付与しないでください。
+ [AwsGlueSessionUserRestrictedPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AwsGlueSessionUserRestrictedPolicy) - 使用者の AWS ユーザー ID と一致するタグキー「所有者」および値が提供されている場合のみ、`CreateSession` API オペレーションを使って AWS Glue インタラクティブセッションを作成するためのアクセスを提供します。この ID ポリシーは、`CreateSession` API オペレーションを呼び出す IAM ユーザーにアタッチされます。またこのポリシーは、使用者が、自分の AWS Glue ユーザー ID と一致する「所有者」タグと値とで作成された、AWS インタラクティブセッションリソースを操作することも許可します。このポリシーは、セッションが作成された後に、AWS Glue セッションリソースから「所有者」タグを変更または削除する許可を拒否します。
**注記**  
セキュリティ上のメリットを最大限に引き出すには、`AWSGlueServiceRole`、`AWSGlueConsoleFullAccess`、または `AWSGlueConsoleSageMakerNotebookFullAccess` のポリシーが割り当てられたユーザーにはこのポリシーを付与しないでください。
+ [AWSGlueSessionUserRestrictedNotebookServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AwsGlueSessionUserRestrictedNotebookServiceRole) — AWS Glue Studio ノートブックセッションへの十分なアクセスを提供し、特定の AWS Glue インタラクティブセッションリソースのやり取りを行えるようにします。これらは、ノートブックを作成したプリンシパルの AWS ユーザー ID (IAM ユーザーまたはロール) と一致する「所有者」タグ値で作成されたリソースです。これらのタグの詳細については、*IAM ユーザーガイド*にある[プリンシパルキーの値](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html#policy-vars-infotouse)の表を参照してください。

  このサービスロールポリシーは、ノートブック内でマジックコマンドにより指定されたロールと、`CreateSession` API オペレーションにロールとして渡されたロールにアタッチされます。またこのポリシーは、タグキー「所有者」と値とがプリンシパルの AWS ユーザー ID に一致する場合のみ、プリンシパルが AWS Glue Studio ノートブックインターフェースから AWS Glue インタラクティブセッションを作成することを許可します。このポリシーは、セッションが作成された後に、AWS Glue セッションリソースから「所有者」タグを変更または削除する許可を拒否します。このポリシーには、Amazon S3 バケットからの書き込みと読み取り、CloudWatch ログの書き込み、AWS Glue が使用する Amazon EC2 リソースのタグの作成と削除、のためのアクセス権限も含まれます。
**注記**  
セキュリティ上のメリットを最大限に引き出すには、`AWSGlueServiceRole`、`AWSGlueConsoleFullAccess`、または `AWSGlueConsoleSageMakerNotebookFullAccess` のポリシーが割り当てられたユーザーにはこのポリシーを付与しないでください。
+ [AwsGlueSessionUserRestrictedNotebookPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AwsGlueSessionUserRestrictedNotebookPolicy) - ノートブックを作成するプリンシパルの AWS ユーザー ID (IAM ユーザーまたはロール) と一致する、タグキー「所有者」と値とがある場合にのみ、AWS Glue Studio ノートブックインターフェースから AWS Glue インタラクティブセッションを作成するアクセス権限を付与します。これらのタグの詳細については、*IAM ユーザーガイド*にある[プリンシパルキーの値](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html#policy-vars-infotouse)の表を参照してください。

  このポリシーは、AWS Glue Studio ノートブックインターフェイスからセッションを作成するプリンシパル (IAM ユーザーまたはロール) にアタッチされます。このポリシーでは、特定の AWS Glue インタラクティブセッションリソースのやり取りを行うための、AWS Glue Studio ノートブックへの十分なアクセス権限も付与されます。これらは、プリンシパルの AWS ユーザー ID と一致する「所有者」タグ値で作成されたリソースです。このポリシーは、セッションが作成された後に、AWS Glue セッションリソースから「所有者」タグを変更または削除する許可を拒否します。
+ [AWSGlueServiceNotebookRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceNotebookRole) — AWS Glue Studio ノートブックで開始された AWS Glue セッションへのアクセスを許可します。このポリシーでは、すべてのセッションのセッション情報の一覧表示と取得を許可しますが、ユーザーが行えるのは、自分の AWS ユーザー ID でタグ付けされたセッションの作成と使用のみです。このポリシーは、ユーザーの AWS ID でタグ付けされた AWS Glue セッションリソースから、「所有者」タグを変更または削除しようとするアクセス権限は拒否します。

  このポリシーを、AWS のノートブックインターフェイスを使用してジョブを作成する AWS Glue Studio ユーザーに割り当ててください。
+ [AWSGlueConsoleSageMakerNotebookFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleSageMakerNotebookFullAccess) - ポリシーがアタッチされた ID が AWS マネジメントコンソールを使用するときに、AWS Glue と SageMaker AI リソースへの完全なアクセスを付与します。このポリシーで指定されたリソースの命名規則に従った場合、ユーザーは完全なコンソール機能を使用できます。このポリシーは、通常 SageMaker AI ノートブックを管理する AWS Glue コンソールのユーザーにアタッチされています。
+ [AWSGlueSchemaRegistryFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueSchemaRegistryFullAccess) – ポリシーがアタッチされた ID が AWS マネジメントコンソール または AWS CLI を使用するときに、AWS Glue Schema Registry リソースへの完全なアクセスを付与します。このポリシーで指定されたリソースの命名規則に従った場合、ユーザーは完全なコンソール機能を使用できます。このポリシーは通常、AWS Glue Schema Registry を管理する AWS Glue コンソールまたは AWS CLI のユーザーにアタッチされます。
+ [AWSGlueSchemaRegistryReadonlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueSchemaRegistryReadonlyAccess) – ポリシーがアタッチされた ID が AWS マネジメントコンソール または AWS CLI を使用するときに、AWS Glue Schema Registry リソースへの読み取り専用アクセスを許可します。このポリシーで指定されたリソースの命名規則に従った場合、ユーザーは完全なコンソール機能を使用できます。このポリシーは通常、AWS Glue Schema Registry を使用する AWS Glue コンソールまたは AWS CLI のユーザーにアタッチされます。

**注記**  
IAM コンソールにサインインし、特定のポリシーを検索することで、これらの許可ポリシーを確認できます。

これに加え、独自のカスタム IAM ポリシーを作成して、AWS Glue アクションとリソースにアクセス許可を付与することもできます。これらのカスタムポリシーは、それらのアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。

カスタム IAM ロールの使用中に VPC 設定を使用した接続を作成するには、次の VPC アクセスのアクションが必要です。
+ secretsmanager:GetSecretValue
+ secretsmanager:PutSecretValue
+ secretsmanager:DescribeSecret
+ ec2:CreateNetworkInterface
+ ec2:DeleteNetworkInterface
+ ec2:DescribeNetworkInterfaces
+ ec2:DescribeSubnets

## AWS Glueでの AWS マネージドポリシーの更新
<a name="security-iam-awsmanpol-updates"></a>



AWS Glue の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更を自動通知するには、AWS Glue の [Document history] (ドキュメントの履歴) ページで RSS フィードをサブスクライブします。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
| AwsGlueSessionUserRestrictedNotebookPolicy – 既存のポリシーのマイナーアップデート。 | 所有者タグキーに glue:TagResource アクションの許可を追加します。所有者タグキーを持つセッションの tag-on-create のサポートに必要です。 | 2024 年 8 月 30 日 | 
| AwsGlueSessionUserRestrictedNotebookServiceRole – 既存のポリシーのマイナーアップデート。 | 所有者タグキーに glue:TagResource アクションの許可を追加します。所有者タグキーを持つセッションの tag-on-create のサポートに必要です。 | 2024 年 8 月 30 日 | 
| AwsGlueSessionUserRestrictedPolicy – 既存のポリシーのマイナーアップデート。 | 所有者タグキーに glue:TagResource アクションの許可を追加します。所有者タグキーを持つセッションの tag-on-create のサポートに必要です。 | 2024 年 8 月 5 日 | 
| AwsGlueSessionUserRestrictedServiceRole – 既存のポリシーのマイナーアップデート。 | 所有者タグキーに glue:TagResource アクションの許可を追加します。所有者タグキーを持つセッションの tag-on-create のサポートに必要です。 | 2024 年 8 月 5 日 | 
| AwsGlueSessionUserRestrictedPolicy – 既存のポリシーのマイナーアップデート。 | glue:StartCompletion と glue:GetCompletion をポリシーに追加します。AWS Glue の Amazon Q データ統合に必要です。 | 2024 年 4 月 30 日 | 
| AwsGlueSessionUserRestrictedNotebookServiceRole – 既存のポリシーのマイナーアップデート。 | glue:StartCompletion と glue:GetCompletion をポリシーに追加します。AWS Glue の Amazon Q データ統合に必要です。 | 2024 年 4 月 30 日 | 
| AwsGlueSessionUserRestrictedServiceRole – 既存のポリシーのマイナーアップデート。 | glue:StartCompletion と glue:GetCompletion をポリシーに追加します。AWS Glue の Amazon Q データ統合に必要です。 | 2024 年 4 月 30 日 | 
| AWSGlueServiceNotebookRole – 既存のポリシーのマイナーアップデート。 | glue:StartCompletion と glue:GetCompletion をポリシーに追加します。AWS Glue の Amazon Q データ統合に必要です。 | 2024 年 1 月 30 日 | 
| AwsGlueSessionUserRestrictedNotebookPolicy – 既存のポリシーのマイナーアップデート。 | glue:StartCompletion と glue:GetCompletion をポリシーに追加します。AWS Glue の Amazon Q データ統合に必要です。 | 2023 年 11 月 29 日 | 
| AWSGlueServiceNotebookRole – -既存のポリシーのマイナーアップデート。 | codewhisperer:GenerateRecommendations をポリシーに追加します。AWS Glue が CodeWhisperer の推奨事項を生成する新機能に必要です。 | 2023 年 10 月 9 日 | 
|  AWSGlueServiceRole - 既存のポリシーのマイナーアップデート。  |  AWS Glue のログ記録をより適切に反映できるように CloudWatch のアクセス許可の範囲を厳しくしてください。 | 2023 年 8 月 4 日 | 
|  AWSGlueConsoleFullAccess – 既存のポリシーのマイナーアップデート。  |  databrew レシピのリストと説明のアクセス許可をポリシーに追加します。AWS Glue がレシピにアクセスできる新機能への完全な管理アクセスを提供するために必要です。 | 2023 年 5 月 9 日 | 
|  AWSGlueConsoleFullAccess – 既存のポリシーのマイナーアップデート。  |  cloudformation:ListStacks をポリシーに追加します。CloudFormation 認可要件が変更された後も、既存の機能が維持されます。 | 2023 年 3 月 28 日 | 
|  インタラクティブセッション機能で新たに追加されたマネージドポリシー: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/glue/latest/dg/security-iam-awsmanpol.html)  |  これらのポリシーは、AWS Glue Studio のインタラクティブセッションとノートブックのセキュリティを強化するように設計されています。これらのポリシーは、所有者だけがアクセスできるよう、`CreateSession` API オペレーションへのアクセスを制限します。  | 2021 年 11 月 30 日 | 
|  AWSGlueConsoleSageMakerNotebookFullAccess – 既存のポリシーの更新  |  `arn:aws:s3:::aws-glue-*/*` がスクリプトと一時ファイルを保存する際に使用する、Amazon S3 バケットに対する読み込み/書き込みのアクセス許可を付与するアクションで、冗長していたリソース ARN (AWS Glue) を削除しました。 `"StringEquals"` を `"ForAnyValue:StringLike"` に変更し、順序に誤りがあった (各所の) ` "Effect": "Allow"` 行を `"Action":` 行の前に移動することにより、構文の問題を修正しました。  | 2021 年 7 月 15 日 | 
|  AWSGlueConsoleFullAccess – 既存のポリシーの更新  | arn:aws:s3:::aws-glue-\$1/\$1 がスクリプトと一時ファイルを保存する際に使用する、Amazon S3 バケットに対する読み込み/書き込みのアクセス許可を付与するアクションで、冗長していたリソース ARN (AWS Glue) を削除しました。 | 2021 年 7 月 15 日 | 
|  AWS Glue は変更の追跡を開始しました  | AWS Glue は AWS マネージドポリシーの変更の追跡を開始しました。 | 2021 年 6 月 10 日 |