本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置 AWS Identity and Access Management (IAM) 权限
在开始之前,您需要在 IAM 中进行一些设置。您需要成为管理员或者得到管理员的帮助。但是,如果您拥有具有管理员访问权限的账户,则可以自己完成这些任务。您可以在本节中找到每项任务的简单说明。
以下是您需要执行的操作概述:
+ 在该过程中,您将添加一个用户。您不必添加新用户,可以使用现有用户。您可以附加 DataBrew 权限,以便用户可以打开 DataBrew 控制台。
+ 创建 IAM 角色。角色使得能够执行某些操作,并在使用时在限制范围内授予权限。例如,它仅适用于您 AWS 账户中的用户。您稍后可以添加更多限制。
+ 创建您需要的一个或多个 IAM 策略。策略是允许用户执行的操作列表。要创建策略,请打开另一个控制台页面,然后粘贴到您下载的文件中的文本。
**注意**
我们在这里提供的是基本设置信息。建议您花点时间自定义权限,使其满足您的安全性和合规性需求。如果您需要帮助,请联系您的管理员或 Supp AWS ort。
**添加所需的权限**
1. DataBrew 通过执行以下操作创建 IAM 策略以使用户能够运行:
+ [为控制台用户添加自定义 IAM 策略](setting-up-iam-policy-for-databrew-console-access.md)。如果您不需要自定义策略,则可以改为选择 AWS-managed 策略。只需在步骤 2 中将其添加到用户即可。具有这些权限的用户可以访问 DataBrew 服务控制台。
+ [添加对数据资源的权限](setting-up-iam-policy-for-data-resources-role.md)。具有这些权限的 IAM 角色可以代表用户访问数据。
您需要成为管理员才能创建用户、角色和策略。
1. [为添加用户或群组 DataBrew](setting-up-iam-users-and-groups-for-databrew.md)。具有正确权限的用户或群组可以访问 DataBrew控制台。
1. [添加一个有权访问其数据的角色 DataBrew](setting-up-iam-role-to-use-in-databrew.md)。具有正确权限的角色可以代表用户访问数据。
# 为设置 IAM 策略 DataBrew
您使用 IAM 策略来管理权限。使用策略可以更轻松地一次添加所有相关权限,而不是一次添加一个权限。
建议您使用我们提供的相同名称创建策略。我们在整个文档中对这些策略使用以下所示的名称。如果您需要联系 Support,使用这些名称还可以更轻松地联系 AWS 。但是,您可以选择更改策略名称及其内容。有关 IAM 策略的更多信息,请参阅《IAM 用户指南》**中的[创建客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html)。
创建需要使用的策略后 DataBrew,将其附加到用户和角色。本节稍后将介绍如何执行此操作。
**Topics**
+ [
# 为控制台用户添加 IAM 策略
](setting-up-iam-policy-for-databrew-console-access.md)
+ [
# 为 IAM 角色添加对数据资源的权限
](setting-up-iam-policy-for-data-resources-role.md)
+ [
# 为配置 IAM 策略 DataBrew
](iam-policy-config-for-databrew.md)
# 为控制台用户添加 IAM 策略
为用户设置权限 AWS 管理控制台 是可选的,但如果您需要控制台访问权限,请先执行此步骤。
要在控制台 DataBrew 上设置访问权限,请选择以下选项之一:
+ 使用由 AWS:管理的策略`AwsGlueDataBrewFullAccessPolicy`。如果您选择此选项,请跳到下一个策略:[为 IAM 角色添加对数据资源的权限](setting-up-iam-policy-for-data-resources-role.md)。
+ 创建本节中描述的策略,即 `AwsGlueDataBrewCustomUserPolicy`。使用此选项,您可以根据其他自定义安全要求自定义策略。
以下策略授予运行 DataBrew 控制台所需的权限。您通过使用 IAM 提供这些权限。
**定义 DataBrew (控制台) AwsGlueDataBrewCustomUserPolicy 的 IAM 策略**
1. 下载 [samples/AwsGlueDataBrewCustomUserPolicy.json.zip](samples/AwsGlueDataBrewCustomUserPolicy.json.zip) IAM 策略对应的 JSON。
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**策略**。
1. 对于每个策略,选择**创建策略**。
1. 在**创建策略**屏幕上,导航到 **JSON** 选项卡。
1. 复制您下载的策略 JSON 语句。将其粘贴到编辑器的示例语句上。
1. 确认该政策是根据您的账户、安全要求和所需 AWS 资源定制的。如果需要进行更改,您可以在编辑器中进行更改。
1. 选择**查看策略**。
**为 DataBrew (AWS CLI) 定义 AwsGlueDataBrewCustomUserPolicy IAM 策略**
1. 下载 [samples/AwsGlueDataBrewCustomUserPolicy.json.zip](samples/AwsGlueDataBrewCustomUserPolicy.json.zip) IAM 策略对应的 JSON。
1. 如前面过程中的第一步所述自定义策略。
1. 运行以下命令以创建策略。
```
aws iam create-policy --policy-name AwsGlueDataBrewCustomUserPolicy --policy-document file://iam-policy-AwsGlueDataBrewCustomUserPolicy.json
```
# 为 IAM 角色添加对数据资源的权限
要连接到数据, AWS Glue DataBrew 需要有一个可以代表用户传递的 IAM 角色。接下来,您可以找到如何创建要在稍后附加到 IAM 角色的策略。
该`AwsGlueDataBrewDataResourcePolicy`策略授予使用连接数据所需的权限 DataBrew。对于访问其他 AWS 资源中数据的任何操作,例如访问您在 Amazon S3 中的对象,都 DataBrew 需要获得代表您访问该资源的权限。
**定义 DataBrew (控制台) AwsGlueDataBrewDataResourcePolicy 的 IAM 策略**
1. 下载 [samples/AwsGlueDataBrewDataResourcePolicy.json.zip](samples/AwsGlueDataBrewDataResourcePolicy.json.zip) 对应的 JSON。
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**策略**。
1. 对于每个策略,选择**创建策略**。
1. 在**创建策略**屏幕上,导航到 **JSON** 选项卡。
1. 复制您下载的策略 JSON 语句。将其粘贴到编辑器的示例语句上。
1. 确认该政策是根据您的账户、安全要求和所需 AWS 资源定制的。如果需要进行更改,您可以在编辑器中进行更改。
1. 选择**查看策略**。
**为 DataBrew (AWS CLI) 定义 AwsGlueDataBrewDataResourcePolicy IAM 策略**
1. 下载 [samples/AwsGlueDataBrewDataResourcePolicy.json.zip](samples/AwsGlueDataBrewDataResourcePolicy.json.zip) 对应的 JSON。
1. 如前面过程中的第一步所述自定义策略。
1. 运行以下命令以创建策略。
```
aws iam create-policy --policy-name AwsGlueDataBrewDataResourcePolicy --policy-document file://iam-policy-AwsGlueDataBrewDataResourcePolicy.json
```
# 为配置 IAM 策略 DataBrew
接下来,您可以找到有关可与之配合使用的 IAM 策略的详细信息和示例 DataBrew。此处提供了有关基本策略的详细信息。另外,还有更多不需要使用的示例 DataBrew。它们是您在某些情况下可能使用的其他配置。
**Topics**
+ [
# AwsGlueDataBrewCustomUserPolicy
](iam-policy-to-use-databrew-console.md)
+ [
# AwsGlueDataBrewDataResourcePolicy
](iam-policy-for-data-resources-role.md)
+ [
# 使用 Amazon S3 对象的 IAM 政策 DataBrew
](iam-policy-to-use-s3-for-data-resource-role.md)
+ [
# 使用加密的 IAM 政策 DataBrew
](iam-policy-to-use-kms-encrypted-s3-for-data-resource-role.md)
# AwsGlueDataBrewCustomUserPolicy
该`AwsGlueDataBrewCustomUserPolicy`策略授予使用 DataBrew 控制台所需的大部分权限。本政策中指定的某些资源指的是所使用的服务 DataBrew。这些名称包括 Amazon S3 存储桶、Amazon CloudWatch 日志和 AWS KMS 资源的名称。 AWS Glue Data Catalog它类似于名`AwsGlueDataBrewFullAccessPolicy`为 AWS的托管策略。
下表描述了此策略授予的权限。
| **Action** | **资源** | **描述** |
| --- | --- | --- |
| `"databrew:*"` | `"*"` | 授予运行所有 DataBrew API 操作的权限。 |
| `"glue:GetDatabases"` `"glue:GetPartitions"` `"glue:GetTable"` `"glue:GetTables"` `"glue:GetDataCatalogEncryptionSettings"` | "\$1" | 允许列出 AWS Glue 数据库和表。 |
| `"dataexchange:ListDataSets"` `"dataexchange:ListDataSetRevisions"` `"dataexchange:ListRevisionAssets"` `"dataexchange:CreateJob"` `"dataexchange:StartJob"` `"dataexchange:GetJob"` | `"*"` | 允许在 AWS 数据集中列出 Data Exchange 资源。 |
| `"kms:DescribeKey"` `"kms:ListKeys"` `"kms:ListAliases"` | `"*"` | 允许列出用于加密任务输出的 AWS KMS 密钥。 |
| `"kms:GenerateDataKey"` | `"arn:aws:kms:::key/key_ids"` | 允许对作业输出进行加密。 |
| `"s3:ListAllMyBuckets"` `"s3:GetBucketCORS"` `"s3:GetBucketLocation"` `"s3:GetEncryptionConfiguration"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许为项目、数据集和作业列出 Amazon S3 存储桶。允许将输出文件发送到 S3。 |
| `"sts:GetCallerIdentity"` | `"*"` | 获取有关当前调用方的信息。 |
| `"cloudtrail:LookupEvents",` | `"*"` | 允许列出数据集 AWS CloudTrail 的事件(数据沿袭)。 |
| `"iam:ListRoles"` `"iam:GetRole"` | `"*"` | 允许列出要用于项目和作业的 IAM 角色。 |
# AwsGlueDataBrewDataResourcePolicy
该`AwsGlueDataBrewDataResourcePolicy`策略授予连接数据和进行配置所需的权限 DataBrew。
下表描述了此策略授予的权限。
| **Action** | **资源** | **描述** |
| --- | --- | --- |
| `"s3:GetObject"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许您预览文件。 |
| `"s3:PutObject"` `"s3:PutBucketCORS"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许将输出文件发送到 S3。 |
| `"s3:DeleteObject"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许删除由创建的对象 DataBrew。 |
| `"s3:ListBucket"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许从项目、数据集和作业列出 Amazon S3 存储桶。 |
| "kms:Decrypt" | `"arn:aws:kms:::key/key_ids"` | 允许对加密的数据集进行解密。 |
| `"kms:GenerateDataKey"` | `"arn:aws:kms:::key/key_ids"` | 允许对作业输出进行加密。 |
| `"ec2:DescribeVpcEndpoints"` `"ec2:DescribeRouteTables"` `"ec2:DeleteNetworkInterface"` `"ec2:DescribeNetworkInterfaces"` `"ec2:DescribeSecurityGroups"` `"ec2:DescribeSubnets"` `"ec2:DescribeVpcAttribute"` `"ec2:CreateNetworkInterface"` | `"*"` | 允许在运行作业和项目时设置 Amazon EC2 网络项目,例如虚拟私有云 (VPCs)。 |
| `"ec2:DeleteNetworkInterface"` | "\$1" | 允许删除 VPC 中的网络接口。 |
| `"ec2:CreateTags"` `"ec2:DeleteTags"` | `"arn:aws:ec2:::network-interface/*", "arn:aws:ec2:::security-group/*"` | 允许创建和删除标签。 如果您使用启用了 VPC AWS Glue 的数据目录,则需要这些权限。 DataBrew 将数据传递 AWS Glue 给以运行您的作业和项目。这些权限允许标记为开发终端节点创建的 Amazon EC2 资源。 AWS Glue 使用标记 Amazon EC2 网络接口、安全组和实例`aws-glue-service-resource`。 |
| `"logs:CreateLogGroup"` `"logs:CreateLogStream"` `"logs:PutLogEvents"` | `"arn:aws:logs:::log-group:/aws-glue-databrew/*"` | 允许将日志写入 Amazon CloudWatch 日志 DataBrew 将日志写入名称以开头的日志组`aws-glue-databrew`。 |
| `"lakeformation:GetDataAccess"` | `"*"` | 允许访问 AWS Lake Formation,前提`"Glue":"GetTable"`是也允许访问 使用 Lake Formation 需要在 Lake Formation 控制台中进行进一步配置。 |
# 使用 Amazon S3 对象的 IAM 政策 DataBrew
`AwsGlueDataBrewSpecificS3BucketPolicy` 策略授予代表非管理员用户访问 S3 所需的权限。
按如下方式自定义策略:
1. 替换策略中的 Amazon S3 路径,使其指向您要使用的路径。在样本文本中,*`BUCKET-NAME-1/SPECIFIC-OBJECT-NAME`* 表示特定对象或文件。*`BUCKET-NAME-2/`* 表示路径名称以 `BUCKET-NAME-2/` 开头的所有对象(`*`)。更新它们以命名您正在使用的存储桶。
1. (可选)在 Amazon S3 路径中使用通配符进一步限制权限。有关更多信息,请参阅 *IAM 用户指南* 中的 [IAM 策略元素:变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。
**安全最佳实践**:为防止未经授权访问其他 AWS 账户中具有相似名称的 Amazon S3 存储桶,请在您的策略中包含`aws:ResourceAccount`条件密钥。这样 DataBrew 可以确保即使使用通配符资源也只能访问您自己 AWS 账户中的存储桶。 ARNs将以下条件添加到您的策略语句中:
```
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
```
`123456789012`用您的实际 AWS 账户 ID 替换。
作为执行此操作的一部分,您可以限制操作 `s3:PutObject` 和 `s3:PutBucketCORS` 的权限。只有创建 DataBrew 项目的用户才需要这些操作,因为这些用户需要能够将输出文件发送到 S3。
要了解更多信息并查看您可以向 Amazon S3 的 IAM 策略添加哪些内容的一些示例,请参阅《Amazon S3 开发人员指南》**中的[存储桶策略示例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html)。
下表描述了此策略授予的权限。
| **Action** | **资源** | **描述** |
| --- | --- | --- |
| `"s3:GetObject"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许您预览文件。 |
| `"s3:PutObject"` `"s3:PutBucketCORS"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许将输出文件发送到 S3。 |
| `"s3:DeleteObject"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许删除对象。 |
**为 DataBrew (控制台)定义 AwsGlueDataBrewSpecific S3 BucketPolicy IAM 策略**
1. 下载 [samples/AwsGlueDataBrewSpecificS3BucketPolicy.json.zip](samples/AwsGlueDataBrewSpecificS3BucketPolicy.json.zip) IAM 策略对应的 JSON。
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**策略**。
1. 对于每个策略,选择**创建策略**。
1. 在**创建策略**屏幕上,导航到 **JSON** 选项卡。
1. 在编辑器中将策略 JSON 语句粘贴到样本语句上。
1. 确认该政策是根据您的账户、安全要求和所需 AWS 资源定制的。如果需要进行更改,您可以在编辑器中进行更改。
1. 选择**查看策略**。
**为 DataBrew (AWS CLI) 定义 AwsGlueDataBrewSpecific S3 BucketPolicy IAM 策略**
1. 下载 [samples/AwsGlueDataBrewSpecificS3BucketPolicy.json.zip](samples/AwsGlueDataBrewSpecificS3BucketPolicy.json.zip) 对应的 JSON。
1. 如前面过程中的第一步所述自定义策略。
1. 运行以下命令以创建策略。
```
aws iam create-policy --policy-name AwsGlueDataBrewSpecificS3BucketPolicy --policy-document file://iam-policy-AwsGlueDataBrewSpecificS3BucketPolicy.json
```
# 使用加密的 IAM 政策 DataBrew
该`AwsGlueDataBrewS3EncryptedPolicy`策略授予代表非管理员用户访问用 AWS Key Management Service (AWS KMS) 加密的 S3 对象所需的权限。
按如下方式自定义策略:
1. 替换策略中的 Amazon S3 路径,使其指向您要使用的路径。在样本文本中,*`BUCKET-NAME-1/SPECIFIC-OBJECT-NAME`* 表示特定对象或文件。*`BUCKET-NAME-2/`* 表示路径名称以 `BUCKET-NAME-2/` 开头的所有对象(`*`)。更新它们以命名您正在使用的存储桶。
1. (可选)在 Amazon S3 路径中使用通配符进一步限制权限。有关更多信息,请参阅 [IAM policy 元素:变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。
作为执行此操作的一部分,您可以限制操作 `s3:PutObject` 和 `s3:PutBucketCORS` 的权限。只有创建 DataBrew 项目的用户才需要这些操作,因为这些用户需要能够将输出文件发送到 S3。
要了解更多信息并查看您可以向 Amazon S3 的 IAM 策略添加哪些内容的一些示例,请参阅[存储桶策略示例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html)。
1. 在`ToUseKms`文件 ARNs 中找到以下资源。
```
"arn:aws:kms:AWS-REGION-NAME:AWS-ACCOUNT-ID-WITHOUT-DASHES:key/KEY-IDS",
"arn:aws:kms:AWS-REGION-NAME:AWS-ACCOUNT-ID-WITHOUT-DASHES:key/KEY-IDS"
```
1. 将示例 AWS 账户更改为您的 AWS 账号(不含连字符)。
1. 更改示例列表,以便改为列出您要使用的 IAM 角色。建议您将 IAM 策略的范围限定到尽可能小的权限集。但是,您可以允许用户访问所有 IAM 角色,例如,如果您使用的是包含样本数据的个人学习账户。要允许列表访问所有 IAM 角色,请将样本列表更改为一个条目:`"arn:aws:iam::111122223333:role/*"`。
下表描述了此策略授予的权限。
| **Action** | **资源** | **描述** |
| --- | --- | --- |
| `"s3:GetObject"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许您预览文件。 |
| `"s3:ListBucket"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许从项目、数据集和作业列出 Amazon S3 存储桶。 |
| `"s3:PutObject"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许将输出文件发送到 S3。 |
| `"s3:DeleteObject"` | `"arn:aws:s3:::bucket_name/*", "arn:aws:s3:::bucket_name"` | 允许删除由创建的对象 DataBrew。 |
| "kms:Decrypt" | `"arn:aws:kms:::key/key_ids"` | 允许对加密的数据集进行解密。 |
| `"kms:GenerateDataKey*"` | `"arn:aws:kms:::key/key_ids"` | 允许对作业输出进行加密。 |
**为 DataBrew (控制台)定义 AwsGlueDataBrew S3 EncryptedPolicy IAM 策略**
1. 下载 [samples/AwsGlueDataBrewS3EncryptedPolicy.json.zip](samples/AwsGlueDataBrewS3EncryptedPolicy.json.zip) IAM 策略对应的 JSON。
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**策略**。
1. 对于每个策略,选择**创建策略**。
1. 在**创建策略**屏幕上,导航到 **JSON** 选项卡。
1. 在编辑器中将策略 JSON 语句粘贴到样本语句上。
1. 确认该政策是根据您的账户、安全要求和所需 AWS 资源定制的。如果需要进行更改,您可以在编辑器中进行更改。
1. 选择**查看策略**。
**为 DataBrew (AWS CLI) 定义 AwsGlueDataBrew S3 EncryptedPolicy IAM 策略**
1. 下载 [samples/AwsGlueDataBrewS3EncryptedPolicy.json.zip](samples/AwsGlueDataBrewS3EncryptedPolicy.json.zip) 对应的 JSON。
1. 如前面过程中的第一步所述自定义策略。
1. 运行以下命令以创建策略。
```
aws iam create-policy --policy-name AwsGlueDataBrewS3EncryptedPolicy --policy-document file://iam-policy-AwsGlueDataBrewS3EncryptedPolicy.json
```
# 添加具有 DataBrew 权限的用户或群组
您可以为角色分配策略,为用户和组分配角色以管理权限。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份(用户、组和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
在开始之前,您需要具有至少一个用户才能分配权限。
使用以下步骤为需要在 DataBrew 控制台中工作或在 CLI 中运行 DataBrew 命令的用户设置 DataBrew 权限。
**要设置 DataBrew 权限**
1. 创建访问密钥供您的用户使用 f AWS CLI o DataBrew r 和其他开发工具。
1. 启用**AWS 管理控制台 访问权限**以允许用户使用 AWS 控制台。
1. 为 DataBrew 用户或群组创建角色。
1. 选择要使用的策略。请执行以下操作之一:
+ 如果已创建 `AwsGlueDataBrewCustomUserPolicy`,请从列表中选择。
+ 要使用 AWS 托管式策略,请从列表中选择 `AwsGlueDataBrewFullAccessPolicy`。
1. 将该策略分配至角色。
1. 为角色设置信任关系,以便用户或组可以担任相关角色。
+ 如果不使用组,请信任具有该角色的用户。
+ 如果使用组,请信任具有该角色的组,然后将用户添加到该组中。
# 添加具有数据资源权限的 IAM 角色
您可以使用 IAM 角色来管理一起分配的策略。IAM 角色可以由扮演特定角色的人使用,例如 DataBrew 用户或 DataBrew 其自己。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。
使用以下过程创建 DataBrew 项目访问数据所需的 IAM 角色。
**将所需的 IAM 策略附加到新的 IAM 角色 DataBrew**
1. 在导航窗格中,选择 **角色** 和 **创建角色**。
1. 对于**选择受信任实体的类型**,选择标有 **AWS 服务**的卡。
1. **DataBrew**从列表中选择,然后选择 “**下一步:权限”**。
1. 在搜索框中输入 **AwsGlueDataBrewDataResourcePolicy**(您在之前步骤中创建的 IAM 策略)。选择该策略,然后选择**下一步:标签**。
1. 选择**下一步:审核**。
1. 对于**角色名称**,输入 **AwsGlueDataBrewDataAccessRole**,然后选择**创建角色**。