本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 檢閱 AWS Glue Studio 使用者所需的 IAM 許可
若要使用 AWS Glue Studio,使用者必須能夠存取各種 AWS 資源。使用者必須能夠檢視和選取 Amazon S3 儲存貯體、IAM 政策和角色,以及 AWS Glue Data Catalog 物件。
## AWS Glue 服務許可
AWS Glue Studio 使用 AWS Glue 服務的動作和資源。您的使用者需要這些動作和資源的許可,才能有效地使用 AWS Glue Studio。您可以授予 AWS Glue Studio 使用者 `AWSGlueConsoleFullAccess` 受管政策,或使用較小的許可集建立自訂政策。
**重要**
根據安全性最佳實務,建議透過收緊政策來限制存取,進一步限制對 Amazon S3 儲存貯體和 Amazon CloudWatch 日誌群組的存取。如需範例 Amazon S3 政策,請參閱[編寫 IAM 政策:如何授予 Amazon S3 儲存貯體的存取](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/)。
## 為 AWS Glue Studio 建立自訂 IAM 政策
您可以為 AWS Glue Studio 建立具有較小許可集的自訂政策。政策可以針對物件或動作的子集授予許可。建立自訂政策時,請使用下列資訊。
若要使用 AWS Glue Studio API,請在您 IAM 許可的動作政策中納入 `glue:UseGlueStudio`。使用 `glue:UseGlueStudio` 將讓您能存取所有 AWS Glue Studio 動作,即使隨著時間的推移會有更多動作新增到 API 中也能存取。
如需 定義的動作的詳細資訊 AWS Glue,請參閱 [ 定義的動作 AWS Glue](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglue.html)。
**資料準備撰寫動作**
+ SendRecipeAction
+ GetRecipeAction
**有向無環圖 (DAG) 動作**
+ CreateDag
+ UpdateDag
+ GetDag
+ DeleteDag
**任務動作**
+ SaveJob
+ GetJob
+ CreateJob
+ DeleteJob
+ GetJobs
+ UpdateJob
**任務執行動作**
+ StartJobRun
+ GetJobRuns
+ BatchStopJobRun
+ GetJobRun
+ QueryJobRuns
+ QueryJobs
+ QueryJobRunsAggregated
**結構描述動作**
+ GetSchema
+ GetInferredSchema
**資料庫動作**
+ GetDatabases
**計畫動作**
+ GetPlan
**資料表動作**
+ SearchTables
+ GetTables
+ GetTable
**連線動作**
+ CreateConnection
+ DeleteConnection
+ UpdateConnection
+ GetConnections
+ GetConnection
**映射動作**
+ GetMapping
**S3 代理動作**
+ ListBuckets
+ ListObjectsV2
+ GetBucketLocation
**安全組態動作**
+ GetSecurityConfigurations
**指令碼動作**
+ CreateScript (不同於 AWS Glue 中同名的 API)
## 存取 AWS Glue Studio API
若要存取 AWS Glue Studio,將 `glue:UseGlueStudio` 新增到 IAM 許可的動作政策中。
在以下範例中,將 `glue:UseGlueStudio` 納入動作政策中,但未單獨識別 AWS Glue Studio API。這是因為當您納入 `glue:UseGlueStudio` 時,會自動授予您對內部 API 的存取權,而無需在 IAM 許可中指定個別 AWS Glue Studio API。
在範例中,列出的其他動作政策 (例如 `glue:SearchTables`) 不是 AWS Glue Studio API,因此要視需要將其納入 IAM 許可中。您可能還希望納入 Amazon S3 代理動作,以指定要授予的 Amazon S3 存取等級。以下範例政策提供存取權,能打開 AWS Glue Studio、建立視覺任務,並在選定的 IAM 角色具有足夠的存取權時儲存/執行該任務。
## 筆記本和資料預覽許可
資料預覽和筆記本可讓您在任務的任何階段 (讀取、轉換、寫入) 檢視資料範例,而無需實際執行任務。您可以指定 AWS Identity and Access Management (IAM) 角色AWS Glue Studio,讓 在存取資料時使用。IAM 角色應可擔任,並且沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當 AWS Glue Studio 擔任角色時,IAM 會為其提供臨時安全性憑證。
若要確保資料預覽和記事本命令正常運作,請使用名稱以 `AWSGlueServiceRole` 字串開頭的角色。如果您選擇使用不同角色名稱,則必須新增 `iam:passrole` 許可,並設定 IAM 中角色的政策。如需詳細資訊,請參閱 [為未命名為 "AWSGlueServiceRole\$1" 的角色建立 IAM 政策](getting-started-iam-permissions.md#create-iam-policy)。
**警告**
如果角色為基本授予 `iam:passrole` 許可,並且您實作角色鏈結,則使用者可能會無意中取得筆記本的存取權。目前沒有已實作的稽核,稽核可讓您監控哪些使用者已被授予筆記本的存取權。
如果您想拒絕給予 IAM 身分建立資料預覽工作階段的能力,請參閱下列範例 [拒絕給予身分建立資料預覽工作階段的能力](security_iam_id-based-policy-examples.md#deny-data-preview-sessions-per-identity)。
## Amazon CloudWatch 許可
您可以使用 監控您的AWS Glue Studio任務 Amazon CloudWatch,該任務會收集原始資料並將其處理AWS Glue為可讀且near-real-time指標。依預設,系統會自動將 AWS Glue 指標資料傳送至 CloudWatch。如需詳細資訊,請參閱 *Amazon CloudWatch 使用者指南*中的[什麼是 Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html),以及*AWS Glue 開發人員指南*中的 [AWS Glue 指標](https://docs.aws.amazon.com/glue/latest/dg/monitoring-awsglue-with-cloudwatch-metrics.html#awsglue-metrics)。
若要存取 CloudWatch 儀表板,存取 AWS Glue Studio 的使用者需要以下其中一個項目:
+ `AdministratorAccess` 政策
+ `CloudWatchFullAccess` 政策
+ 自訂政策,其中包含一或多個特定許可:
+ `cloudwatch:GetDashboard` 和 `cloudwatch:ListDashboards` 以檢視儀表板
+ `cloudwatch:PutDashboard` 以建立或修改儀表板
+ `cloudwatch:DeleteDashboards` 以刪除儀表板
如需使用政策變更 IAM 使用者許可的詳細資訊,請參閱 *IAM 使用者指南*中的[變更 IAM 使用者的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。