本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 授予 Glue AWS 的 AWS 受管政策
<a name="security-iam-awsmanpol"></a>

 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有委託人身分 （使用者、群組和角色）。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 的 受管 （預先定義） 政策 AWS Glue
<a name="access-policy-examples-aws-managed"></a>

AWS 透過提供由 建立和管理的獨立 IAM 政策，解決許多常見的使用案例 AWS。這些 AWS 受管政策會授予常見使用案例的必要許可，讓您不必調查需要哪些許可。如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

下列 AWS 受管政策可連接到您帳戶中的身分，其專屬於 AWS Glue，並依使用案例案例分組：
+ [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess) – 當連接政策的身分使用 AWS 管理主控台時，授予對 AWS Glue 資源的完整存取權。如果您依照此政策中指定的資源命名慣例，使用者就能擁有完整的主控台功能。此政策通常會連接至 AWS Glue 主控台的使用者。
+ [AWSGlueServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole) – 允許存取多個 AWS Glue 程序代表您執行時所需的資源。這些資源包括 AWS Glue、Amazon S3、IAM、CloudWatch Logs 和 Amazon EC2。如果您依照此政策中指定的資源命名慣例，AWS Glue 程序就能擁有必要的許可。此政策通常會連接至定義編目程式、工作和開發端點時所指定的角色。
+ [AwsGlueSessionUserRestrictedServiceRole](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam::aws:policy%2Fservice-role%2FAwsGlueSessionUserRestrictedServiceRole) – 提供所有 AWS Glue 資源的完整存取 (工作階段除外)。其允許使用者建立並僅使用與使用者相關聯的互動式工作階段。此政策包含 AWS Glue 管理其他 AWS 服務中的AWS Glue資源所需的其他許可。此政策也允許將標籤新增至其他服務中的AWS Glue資源 AWS 。
**注意**  
若要達到完整的安全性優點，請勿將此政策授予已指派 `AWSGlueServiceRole`、`AWSGlueConsoleFullAccess` 或 `AWSGlueConsoleSageMakerNotebookFullAccess` 政策的使用者。
+ [AwsGlueSessionUserRestrictedPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AwsGlueSessionUserRestrictedPolicy) – 只有在提供符合受指派者 AWS 使用者 ID 的標籤金鑰「擁有者」和值時，才能使用 `CreateSession` API 操作提供建立AWS Glue互動式工作階段的存取權。此身分政策連接至叫用 `CreateSession` API 操作的 IAM 使用者。此政策也允許被指派者與使用符合其 AWS 使用者 ID 的「擁有者」標籤和值建立的AWS Glue互動式工作階段資源互動。建立工作階段之後，此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。
**注意**  
若要達到完整的安全性優點，請勿將此政策授予已指派 `AWSGlueServiceRole`、`AWSGlueConsoleFullAccess` 或 `AWSGlueConsoleSageMakerNotebookFullAccess` 政策的使用者。
+ [AwsGlueSessionUserRestrictedNotebookServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AwsGlueSessionUserRestrictedNotebookServiceRole) – 提供足夠的 AWS Glue Studio 筆記本工作階段存取權，以便與特定的 AWS Glue 互動式工作階段資源互動。這些是使用與建立筆記本之委託人 (IAM 使用者或角色） AWS 的使用者 ID 相符的「擁有者」標籤值所建立的資源。如需這些標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的[主體鍵值](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html#policy-vars-infotouse)圖表。

  此服務角色政策會連接至筆記本內使用神奇代碼命令指定的角色，或作為角色傳遞給 `CreateSession` API 操作。此政策也允許委託人從AWS Glue Studio筆記本界面建立AWS Glue互動式工作階段，前提是標籤索引鍵「擁有者」和值符合委託人 AWS 的使用者 ID。建立工作階段之後，此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。此政策還包括從 Amazon S3 儲存貯體寫入和讀取、寫入 CloudWatch 日誌，以及為 AWS Glue 使用的 Amazon EC2 資源建立和刪除標籤的許可。
**注意**  
若要達到完整的安全性優點，請勿將此政策授予已指派 `AWSGlueServiceRole`、`AWSGlueConsoleFullAccess` 或 `AWSGlueConsoleSageMakerNotebookFullAccess` 政策的角色。
+ [AwsGlueSessionUserRestrictedNotebookPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AwsGlueSessionUserRestrictedNotebookPolicy) – 只有在標籤鍵「擁有者」和值符合建立筆記本之主體 (IAM 使用者或角色) 的 AWS 使用者 ID 時，提供存取權以從 AWS Glue Studio 筆記本介面建立 AWS Glue 互動式工作階段。如需這些標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的[主體鍵值](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html#policy-vars-infotouse)圖表。

  此政策會連接至從 AWS Glue Studio 筆記本介面建立工作階段的主體 (IAM 使用者或角色)。此政策還允許足夠的 AWS Glue Studio 筆記本存取權，以便與特定的 AWS Glue 互動式工作階段資源互動。這些是使用與委託 AWS 人的使用者 ID 相符的「擁有者」標籤值建立的資源。建立工作階段之後，此政策拒絕變更或移除 AWS Glue 工作階段資源中「擁有者」標籤的許可。
+ [AWSGlueServiceNotebookRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceNotebookRole) – 授予在 AWS Glue Studio 筆記本中啟動之 AWS Glue 工作階段的存取權。此政策允許列出和取得所有工作階段的工作階段資訊，但只允許使用者建立和使用以其 AWS 使用者 ID 標記的工作階段。此政策拒絕變更或移除具有 AWS ID 標記之AWS Glue工作階段資源的「擁有者」標籤的許可。

  將此政策指派給在 中使用筆記本界面建立任務 AWS 的使用者AWS Glue Studio。
+ [AWSGlueConsoleSageMakerNotebookFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleSageMakerNotebookFullAccess) – 當連接政策的身分使用 AWS 管理主控台時授予 AWS Glue 和 SageMaker AI 資源的完整存取權。如果您依照此政策中指定的資源命名慣例，使用者就能擁有完整的主控台功能。此政策通常會連接到管理 SageMaker AI 筆記本的 AWS Glue 主控台使用者。
+ [AWSGlueSchemaRegistryFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueSchemaRegistryFullAccess) – 當政策連接至 的身分使用 AWS 管理主控台 或 時，授予對AWS Glue結構描述登錄檔資源的完整存取權 AWS CLI。如果您依照此政策中指定的資源命名慣例，使用者就能擁有完整的主控台功能。此政策通常連接到AWS Glue主控台的使用者或管理AWS Glue結構描述登錄 AWS CLI 的使用者。
+ [AWSGlueSchemaRegistryReadonlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueSchemaRegistryReadonlyAccess) – 當附加政策的身分使用 AWS 管理主控台 或 時，授予對AWS Glue結構描述登錄檔資源的唯讀存取權 AWS CLI。如果您依照此政策中指定的資源命名慣例，使用者就能擁有完整的主控台功能。此政策通常連接到AWS Glue主控台的使用者或使用AWS Glue結構描述登錄 AWS CLI 檔的使用者。

**注意**  
您可以登入 IAM 主控台並在該處搜尋特定政策，來檢閱這些許可政策。

您也可以建立自己的自訂 IAM 政策，以允許 AWS Glue 動作與資源的許可。您可以將這些自訂政策連接至需要這些許可的 IAM 使用者或群組。

若要在使用自訂 IAM 角色時建立與 VPC 組態的連線，其必須具有下列 VPC 存取動作：
+ secretsmanager:GetSecretValue
+ secretsmanager:PutSecretValue
+ secretsmanager:DescribeSecret
+ ec2:CreateNetworkInterface
+ ec2:DeleteNetworkInterface
+ ec2:DescribeNetworkInterfaces
+ ec2：DescribeSubnets

## AWS AWS 受管政策的 Glue 更新
<a name="security-iam-awsmanpol-updates"></a>



檢視自此服務開始追蹤 Glue AWS AWS 受管政策更新以來的詳細資訊。如需此頁面變更的自動提醒，請訂閱 Glue 文件歷史記錄頁面上的 RSS AWS 摘要。




| 變更 | 描述 | Date | 
| --- | --- | --- | 
| AwsGlueSessionUserRestrictedNotebookPolicy：現有政策的次要更新。 | 新增允許對擁有者標籤金鑰執行 glue:TagResource 動作。對於具有擁有者標籤金鑰的工作階段，需要支援 tag-on-create。 | 2024 年 8 月 30 日 | 
| AwsGlueSessionUserRestrictedNotebookServiceRole – 現有政策的小幅更新。 | 新增允許對擁有者標籤金鑰執行 glue:TagResource 動作。對於具有擁有者標籤金鑰的工作階段，需要支援 tag-on-create。 | 2024 年 8 月 30 日 | 
| AwsGlueSessionUserRestrictedPolicy – 現有政策的小幅更新。 | 新增允許對擁有者標籤金鑰執行 glue:TagResource 動作。對於具有擁有者標籤金鑰的工作階段，需要支援 tag-on-create。 | 2024 年 8 月 5 日 | 
| AwsGlueSessionUserRestrictedServiceRole – 現有政策的小幅更新。 | 新增允許對擁有者標籤金鑰執行 glue:TagResource 動作。對於具有擁有者標籤金鑰的工作階段，需要支援 tag-on-create。 | 2024 年 8 月 5 日 | 
| AwsGlueSessionUserRestrictedPolicy – 現有政策的小幅更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。Glue 中的 Amazon Q AWS 資料整合需要。 | 2024 年 4 月 30 日 | 
| AwsGlueSessionUserRestrictedNotebookServiceRole – 現有政策的小幅更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。Glue 中的 Amazon Q AWS 資料整合需要。 | 2024 年 4 月 30 日 | 
| AwsGlueSessionUserRestrictedServiceRole – 現有政策的小幅更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。Glue 中的 Amazon Q AWS 資料整合需要。 | 2024 年 4 月 30 日 | 
| AWSGlueServiceNotebookRole – 現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。Glue 中的 Amazon Q AWS 資料整合需要。 | 2024 年 1 月 30 日 | 
| AwsGlueSessionUserRestrictedNotebookPolicy：現有政策的次要更新。 | 將 glue:StartCompletion 和 glue:GetCompletion 新增至政策。Glue 中的 Amazon Q AWS 資料整合需要。 | 2023 年 11 月 29 日 | 
| AWSGlueServiceNotebookRole – 現有政策的次要更新。 | 將 codewhisperer:GenerateRecommendations 新增至政策。Glue AWS 產生 CodeWhisperer 建議的新功能需要。 | 2023 年 10 月 9 日 | 
|  AWSGlueServiceRole：現有政策的次要更新。  |  限制 CloudWatch 許可的範圍，以更好地反映 Glue AWS 記錄。 | 2023 年 8 月 4 日 | 
|  AWSGlueConsoleFullAccess：現有政策的次要更新。  |  將 databrew 配方清單和描述許可新增至政策。為 Glue AWS 可存取配方的新功能提供完整的管理存取權時需要。 | 2023 年 5 月 9 日 | 
|  AWSGlueConsoleFullAccess：現有政策的次要更新。  |  將 cloudformation:ListStacks 新增至政策。在變更 CloudFormation 授權要求後保留現有功能。 | 2023 年 3 月 28 日 | 
|  為互動式工作階段功能新增新的受管政策︰ [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/glue/latest/dg/security-iam-awsmanpol.html)  |  這些政策的設計目的是為 AWS Glue Studio 中的互動式工作階段和筆記本提供更多的安全性。這些政策限制對 `CreateSession` API 操作的存取，只有擁有者可以存取。  | 2021 年 11 月 30 日 | 
|  AWSGlueConsoleSageMakerNotebookFullAccess - 更新現有政策。  |  針對 AWS Glue 用於存放指令碼和臨時檔案的 Amazon S3 儲存貯體上授予讀取/寫入許可的動作，移除了冗餘資源 ARN (`arn:aws:s3:::aws-glue-*/*`)。 修正語法問題，方法是將 `"StringEquals"` 變更為 `"ForAnyValue:StringLike"`，並將 ` "Effect": "Allow"` 行移動到它們亂序的每個位置的 `"Action":` 行之前。  | 2021 年 7 月 15 日 | 
|  AWSGlueConsoleFullAccess - 更新現有政策。  | 針對 arn:aws:s3:::aws-glue-\$1/\$1 用於存放指令碼和臨時檔案的 Amazon S3 儲存貯體上授予讀取/寫入許可的動作，移除了冗餘資源 ARN (AWS Glue)。 | 2021 年 7 月 15 日 | 
|  AWS Glue 已開始追蹤變更。  | AWS Glue 已開始追蹤其 AWS 受管政策的變更。 | 2021 年 6 月 10 日 |