# 授予 AWS Glue 的 AWS 托管式策略
<a name="security-iam-awsmanpol"></a>

AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住，AWS 托管式策略可能不会为您的特定使用案例授予最低权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限，则更新会影响该策略所附加到的所有主体身份（用户、组和角色）。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时，AWS 最有可能更新 AWS 托管式策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## 适用于 AWS Glue 的 AWS 托管（预定义）策略
<a name="access-policy-examples-aws-managed"></a>

AWS 通过提供由 AWS 创建和管理的独立 IAM policy 来满足许多常用案例的要求。这些 AWS 托管策略可针对常用案例授予必要的权限，使您免去调查所需权限的工作。有关更多信息，请参阅《IAM 用户指南》中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)**。

下面的 AWS 托管策略可附加到您账户中的身份，这些托管策略特定于 AWS Glue 并且按使用案例场景进行分组：
+ [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)：当策略所附加的身份使用 AWS 管理控制台 资源时，授予对 AWS Glue 资源的完全访问权限。如果遵循此策略中指定的资源的命名约定，则用户具有完全控制台功能。此策略通常附加到 AWS Glue 控制台的用户。
+ [AWSGlueServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole) – 授予对各种 AWS Glue 进程代表您运行所需的资源的访问权限。这些资源包括 AWS Glue、Amazon S3、IAM、CloudWatch Logs 和 Amazon EC2。如果您遵循此策略中指定的资源的命名约定，则 AWS Glue 进程具有所需的权限。此策略通常附加到在定义爬网程序、作业和开发终端节点时指定的角色。
+ [AwsGlueSessionUserRestrictedServiceRole](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam::aws:policy%2Fservice-role%2FAwsGlueSessionUserRestrictedServiceRole) – 提供对除会话之外的所有 AWS Glue 资源的完全访问权限。允许用户仅创建和使用与用户关联的交互式会话。此策略包括由 AWS Glue 管理其他 AWS 服务中的 AWS Glue 资源所需的其他权限。此策略还允许向其他 AWS 服务中的 AWS Glue 资源添加标签。
**注意**  
若要完全实现安全益处，请勿将此策略授予分配到 `AWSGlueServiceRole`、`AWSGlueConsoleFullAccess` 或 `AWSGlueConsoleSageMakerNotebookFullAccess` 策略的用户。
+ [AwsGlueSessionUserRestrictedPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AwsGlueSessionUserRestrictedPolicy)：仅当提供的标签键“拥有者”和值与受让人的 AWS Glue 用户 ID 匹配时，才提供使用 `CreateSession` API 操作创建 AWS 交互式会话的访问权限。此身份策略已附上调用 `CreateSession` API 操作的 IAM用户。此策略还允许受让人与使用和其 AWS 用户 ID 匹配的“拥有者”标签和值创建的 AWS Glue 交互式会话资源进行交互。此策略拒绝在创建会话后从 AWS Glue 会话资源中更改或删除“拥有者”标签的权限。
**注意**  
若要完全实现安全益处，请勿将此策略授予分配到 `AWSGlueServiceRole`、`AWSGlueConsoleFullAccess` 或 `AWSGlueConsoleSageMakerNotebookFullAccess` 策略的用户。
+ [AwsGlueSessionUserRestrictedNotebookServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AwsGlueSessionUserRestrictedNotebookServiceRole)：提供足够的 AWS Glue Studio 笔记本会话访问权限，以便与特定的 AWS Glue 交互式会话资源进行交互。这些是使用与创建笔记本的主体（IAM 用户或角色）的 AWS 用户 ID 匹配的“拥有者”标签值创建的资源。有关这些标签的更多信息，请参阅 *IAM 用户指南*中的[主体键值](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html#policy-vars-infotouse)图表。

  此服务角色策略将附上使用笔记本中的魔术命令指定的角色，或作为角色传递给 `CreateSession` API 操作。此策略还允许主体仅当标签键“拥有者”和值与主体的 AWS 用户 ID 匹配时，才从 AWS Glue Studio 笔记本界面创建 AWS Glue 交互式会话。此策略拒绝在创建会话后从 AWS Glue 会话资源中更改或删除“拥有者”标签的权限。此策略还包括写入和读取 Amazon S3 存储桶、写入 CloudWatch 日志和为 AWS Glue 使用的 Amazon EC2 资源创建和删除标签的权限。
**注意**  
若要完全实现安全益处，请勿将此策略授予分配到 `AWSGlueServiceRole`、`AWSGlueConsoleFullAccess` 或 `AWSGlueConsoleSageMakerNotebookFullAccess` 策略的角色。
+ [AwsGlueSessionUserRestrictedNotebookPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AwsGlueSessionUserRestrictedNotebookPolicy)：仅当存在标签键“拥有者”和值与创建笔记本的主体（IAM 用户或角色）的 AWS 用户 ID 匹配时，才提供从 AWS Glue Studio 笔记本界面创建 AWS Glue 交互式会话的访问权限。有关这些标签的更多信息，请参阅 *IAM 用户指南*中的[主体键值](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html#policy-vars-infotouse)图表。

  此策略已附上从 AWS Glue Studio 笔记本界面创建会话的主体（IAM 用户或角色）。此策略还允许对 AWS Glue Studio 笔记本的充分访问权限，以便与特定的 AWS Glue 交互式会话资源进行交互。这些是使用与主体的 AWS 用户 ID 匹配的“拥有者”标签值创建的资源。此策略拒绝在创建会话后从 AWS Glue 会话资源中更改或删除“拥有者”标签的权限。
+ [AWSGlueServiceNotebookRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceNotebookRole)：授予对 AWS Glue Studio 笔记本中开启的 AWS Glue 会话的访问权限。此策略允许列出和获取所有会话的会话信息，但仅允许用户创建和使用标记为其 AWS 用户 ID 的会话。此策略会拒绝从标记为其 AWS ID 的 AWS Glue 会话资源中更改或删除“拥有者”标签的权限。

  将此策略分配给使用 AWS Glue Studio 中的笔记本界面创建任务的 AWS 用户。
+ [AWSGlueConsoleSageMakerNotebookFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleSageMakerNotebookFullAccess)：在策略所附加的身份使用 AWS 管理控制台时，授予对 AWS Glue 和 SageMaker AI 资源的完全访问权限。如果遵循此策略中指定的资源的命名约定，则用户具有完全控制台功能。此策略通常附加到管理 SageMaker AI 笔记本的 AWS Glue 控制台的用户。
+ [AWSGlueSchemaRegistryFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueSchemaRegistryFullAccess)：在策略所附加的身份使用 AWS 管理控制台 或 AWS CLI 时，授予对 AWS Glue 架构注册表资源的完全访问权限。如果遵循此策略中指定的资源的命名约定，则用户具有完全控制台功能。此策略通常附加到管理 AWS Glue 架构注册表的 AWS Glue 控制台或 AWS CLI 的用户。
+ [AWSGlueSchemaRegistryReadonlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueSchemaRegistryReadonlyAccess)：在策略附加到的身份使用 AWS 管理控制台 或 AWS CLI 时，授予对 AWS Glue 架构注册表资源的只读访问权限。如果遵循此策略中指定的资源的命名约定，则用户具有完全控制台功能。此策略通常附加到使用 AWS Glue 架构注册表的 AWS Glue 控制台或 AWS CLI 的用户。

**注意**  
您可以通过登录到 IAM 控制台并在该控制台中搜索特定策略来查看这些权限策略。

此外，您还可以创建您自己的自定义 IAM 策略，以授予 AWS Glue 操作和资源的相关权限。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组。

要使用自定义 IAM 角色创建具有 VPC 配置的连接，它必须具有以下 VPC 访问操作：
+ secretsmanager:GetSecretValue
+ secretsmanager:PutSecretValue
+ secretsmanager:DescribeSecret
+ ec2:CreateNetworkInterface
+ ec2:DeleteNetworkInterface
+ ec2:DescribeNetworkInterfaces
+ ec2:DescribeSubnets

## AWS Glue 对 AWS 托管策略的更新
<a name="security-iam-awsmanpol-updates"></a>



查看有关 AWS Glue 的 AWS 托管策略更新的详细信息（从该服务开始跟踪这些更改开始）。有关此页面更改的自动提示，请订阅 AWS Glue 文档历史记录页面上的 RSS 源。




| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
| AwsGlueSessionUserRestrictedNotebookPolicy – 对现有策略的次要更新。 | 添加允许对拥有者标签键执行 glue:TagResource 操作。对于具备拥有者标签键的会话，需要支持创建时加上标签功能。 | 2024 年 8 月 30 日 | 
| AwsGlueSessionUserRestrictedNotebookServiceRole – 对现有策略的次要更新。 | 添加允许对拥有者标签键执行 glue:TagResource 操作。对于具备拥有者标签键的会话，需要支持创建时加上标签功能。 | 2024 年 8 月 30 日 | 
| AwsGlueSessionUserRestrictedPolicy – 对现有策略的次要更新。 | 添加允许对拥有者标签键执行 glue:TagResource 操作。对于具备拥有者标签键的会话，需要支持创建时加上标签功能。 | 2024 年 8 月 5 日 | 
| AwsGlueSessionUserRestrictedServiceRole – 对现有策略的次要更新。 | 添加允许对拥有者标签键执行 glue:TagResource 操作。对于具备拥有者标签键的会话，需要支持创建时加上标签功能。 | 2024 年 8 月 5 日 | 
| AwsGlueSessionUserRestrictedPolicy – 对现有策略的次要更新。 | 将 glue:StartCompletion 和 glue:GetCompletion 添加到策略。对于 AWS Glue 中的 Amazon Q 集成为必需。 | 2024 年 4 月 30 日 | 
| AwsGlueSessionUserRestrictedNotebookServiceRole – 对现有策略的次要更新。 | 将 glue:StartCompletion 和 glue:GetCompletion 添加到策略。对于 AWS Glue 中的 Amazon Q 集成为必需。 | 2024 年 4 月 30 日 | 
| AwsGlueSessionUserRestrictedServiceRole – 对现有策略的次要更新。 | 将 glue:StartCompletion 和 glue:GetCompletion 添加到策略。对于 AWS Glue 中的 Amazon Q 集成为必需。 | 2024 年 4 月 30 日 | 
| AWSGlueServiceNotebookRole – 对现有策略的微小更新。 | 将 glue:StartCompletion 和 glue:GetCompletion 添加到策略。对于 AWS Glue 中的 Amazon Q 集成为必需。 | 2024 年 1 月 30 日 | 
| AwsGlueSessionUserRestrictedNotebookPolicy – 对现有策略的次要更新。 | 将 glue:StartCompletion 和 glue:GetCompletion 添加到策略。对于 AWS Glue 中的 Amazon Q 集成为必需。 | 2023 年 11 月 29 日 | 
| AWSGlueServiceNotebookRole – 对现有策略的微小更新。 | 为策略添加 codewhisperer:GenerateRecommendations。AWS Glue 生成 CodeWhisperer 推荐所用新功能所必需的。 | 2023 年 10 月 9 日 | 
|  AWSGlueServiceRole – 对现有策略的微小更新。  |  收紧 CloudWatch 权限的范围，以更好地反映 AWS Glue 日志记录。 | 2023 年 8 月 4 日 | 
|  AWSGlueConsoleFullAccess：对现有策略的微小更新。  |  向策略添加 databrew 配方列表和描述权限。需要为 AWS Glue 可以访问配方的新功能提供完全的管理权限。 | 2023 年 5 月 9 日 | 
|  AWSGlueConsoleFullAccess：对现有策略的微小更新。  |  为策略添加 cloudformation:ListStacks。CloudFormation 授权要求变更后保留现有功能。 | 2023 年 3 月 28 日 | 
|  为交互式会话功能添加了新的托管策略 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/glue/latest/dg/security-iam-awsmanpol.html)  |  这些策略旨在为 AWS Glue Studio 中的交互式会话和笔记本提供额外的安全性。这些策略会限制对 `CreateSession` API 操作的访问，使得只有拥有者有权访问。  | 2021 年 11 月 30 日 | 
|  AWSGlueConsoleSageMakerNotebookFullAccess：对现有策略的更新  |  为以下操作删除了冗余资源 ARN（`arn:aws:s3:::aws-glue-*/*`）：为 AWS Glue 用于存储脚本和临时文件的 Amazon S3 存储桶授予读取/写入权限。 通过将 `"StringEquals"` 更改为 `"ForAnyValue:StringLike"` 修复了语法问题，并且在行乱序的每个位置将 ` "Effect": "Allow"` 行移到 `"Action":` 行之前。  | 2021 年 7 月 15 日 | 
|  AWSGlueConsoleFullAccess：对现有策略的更新  | 为以下操作删除了冗余资源 ARN（arn:aws:s3:::aws-glue-\$1/\$1）：为 AWS Glue 用于存储脚本和临时文件的 Amazon S3 存储桶授予读取/写入权限。 | 2021 年 7 月 15 日 | 
|  AWS Glue 已开启跟踪更改  | AWS Glue 为其 AWS 托管策略开启了跟踪更改。 | 2021 年 6 月 10 日 |