本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 為任務執行授予動態範圍的政策 AWS Glue 提供強大的新功能:任務執行的動態工作階段政策。此功能可讓您為每個任務執行指定自訂、精細分級的許可,而無需建立多個 IAM 角色。 在使用 `StartJobRun` API 啟動 Glue 任務時,您可以包含內嵌工作階段政策。此政策會在該特定任務執行期間暫時修改任務執行角色的許可。這類似於在其他 AWS 服務中搭配 `AssumeRole` API 使用臨時登入資料。 + **增強安全性**:您可以將任務許可限制為每次執行所需的最低許可。 + **簡化管理**:無需為不同案例建立和維護許多 IAM 角色。 + **彈性**:您可以根據執行時期參數或租用戶專屬的需求動態調整許可。 + **可擴展性**:此方法在您需要隔離租用戶之間的資源的多租用戶環境中表現卓越。 **授予動態範圍的政策用量的範例:** 下列範例示範僅將任務*讀取*和*寫入*存取權授予特定 Amazon S3 儲存貯體路徑,其中路徑是由任務執行 ID 動態決定。這說明如何針對每個任務執行實作精細的執行特定許可。 **從 CLI** ``` aws glue start-job-run \ --job-name "your-job-name" \ --execution-role-session-policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::specific-bucket/${JobRunId}/*" ] } ] }' ```