Amazon Glue 的操作、资源和条件键
Amazon Glue(服务前缀:glue)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。
参考:
Amazon Glue 定义的操作
您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| BatchCreatePartition | 授予权限以创建一个或多个分区 | Write | |||
| BatchDeleteConnection | 授予权限以删除一个或多个连接 | Write | |||
| BatchDeletePartition | 授予权限以删除一个或多个分区 | Write | |||
| BatchDeleteTable | 授予权限以删除一个或多个表 | Write | |||
| BatchDeleteTableVersion | 授予权限以删除表的一个或多个版本 | 写入 | |||
| BatchGetBlueprints | 授予权限以检索一个或多个蓝图 | 读取 | |||
| BatchGetCrawlers | 授予权限以检索一个或多个爬网程序 | 读取 | |||
| BatchGetCustomEntityTypes | 授予权限以检索一个或多个自定义实体类型 | 读取 | |||
| BatchGetDevEndpoints | 授予权限以检索一个或多个开发终端节点 | Read | |||
| BatchGetJobs | 授予权限以检索一个或多个作业 | Read | |||
| BatchGetPartition | 授予权限以检索一个或多个分区 | Read | |||
| BatchGetTriggers | 授予权限以检索一个或多个触发器 | Read | |||
| BatchGetWorkflows | 授予权限以检索一个或多个工作流程 | Read | |||
| BatchStopJobRun | 授予权限以停止作业的一个或多个作业运行 | 写入 | |||
| BatchUpdatePartition | 授予权限以更新一个或多个分区 | 写入 | |||
| CancelMLTaskRun | 授予权限以停止正在运行的 ML 任务运行 | 写入 | |||
| CancelStatement | 授予权限以取消交互式会话中的语句 | 写入 | |||
| CheckSchemaVersionValidity | 授予检索架构版本有效性检查的权限 | 读取 | |||
| CreateBlueprint | 授予权限以创建蓝图 | 写入 | |||
| CreateClassifier | 授予权限以创建分类器 | Write | |||
| CreateConnection | 授予权限以创建连接 | Write | |||
| CreateCrawler | 授予权限以创建爬网程序 | 写入 | |||
| CreateCustomEntityType | 授予权限以创建自定义实体类型 | 写入 | |||
| CreateDatabase | 授予权限以创建数据库 | Write | |||
| CreateDevEndpoint | 授予权限以创建开发终端节点 | Write | |||
| CreateJob | 授予权限以创建作业 | Write | |||
| CreateMLTransform | 授予权限以创建 ML 转换 | Write | |||
| CreatePartition | 授予权限以创建分区 | 写入 | |||
| CreatePartitionIndex | 授予权限以在现有表中创建指定的分区索引 | 写入 | |||
| CreateRegistry | 授予创建新架构注册表的权限 | Write | |||
| CreateSchema | 授予创建新架构容器的权限 | Write | |||
| CreateScript | 授予权限以创建脚本 | Write | |||
| CreateSecurityConfiguration | 授予权限以创建安全配置 | 写入 | |||
| CreateSession | 授予创建交互式会话的权限 | 写入 | |||
| CreateTable | 授予权限以创建表 | Write | |||
| CreateTrigger | 授予权限以创建触发器 | Write | |||
| CreateUserDefinedFunction | 授予权限以创建函数定义 | Write | |||
| CreateWorkflow | 授予权限以创建工作流程 | 写入 | |||
| DeleteBlueprint | 授予权限以删除蓝图 | 写入 | |||
| DeleteClassifier | 授予权限以删除分类器 | 写入 | |||
| DeleteColumnStatisticsForPartition | 授予权限以删除列的分区列统计数据信息 | 写入 | |||
| DeleteColumnStatisticsForTable | 授予删除列的表统计信息的权限 | 写入 | |||
| DeleteConnection | 授予权限以删除连接 | Write | |||
| DeleteCrawler | 授予权限以删除爬网程序 | 写入 | |||
| DeleteCustomEntityType | 授予权限以删除自定义实体类型 | 写入 | |||
| DeleteDatabase | 授予权限以删除数据库 | Write | |||
| DeleteDevEndpoint | 授予权限以删除开发终端节点 | Write | |||
| DeleteJob | 授予权限以删除作业 | Write | |||
| DeleteMLTransform | 授予权限以删除 ML 转换 | Write | |||
| DeletePartition | 授予权限以删除分区 | 写入 | |||
| DeletePartitionIndex | 授予权限以从现有表中删除指定的分区索引 | 写入 | |||
| DeleteRegistry | 授予删除架构注册表的权限 | Write | |||
| DeleteResourcePolicy | 授予权限以删除资源策略 | Permissions management | |||
| DeleteSchema | 授予删除架构容器的权限 | Write | |||
| DeleteSchemaVersions | 授予删除一系列架构版本的权限 | Write | |||
| DeleteSecurityConfiguration | 授予权限以删除安全配置 | 写入 | |||
| DeleteSession | 授予在停止交互式会话后删除交互式会话的权限(如果尚未停止) | 写入 | |||
| DeleteTable | 授予权限以删除表 | Write | |||
| DeleteTableVersion | 授予权限以删除表版本 | Write | |||
| DeleteTrigger | 授予权限以删除触发器 | Write | |||
| DeleteUserDefinedFunction | 授予权限以删除函数定义 | Write | |||
| DeleteWorkflow | 授予权限以删除工作流程 | 写入 | |||
| GetBlueprint | 授予权限以检索蓝图 | 读取 | |||
| GetBlueprintRun | 授予权限以检索蓝图运行 | 读取 | |||
| GetBlueprintRuns | 授予权限以检索蓝图的所有运行 | 读取 | |||
| GetCatalogImportStatus | 授予权限以检索目录导入状态 | Read | |||
| GetClassifier | 授予权限以检索分类器 | Read | |||
| GetClassifiers | 授予权限以列出所有分类器 | 读取 | |||
| GetColumnStatisticsForPartition | 授予检索列分区统计信息的权限 | 读取 | |||
| GetColumnStatisticsForTable | 授予检索列的表统计信息的权限 | 读取 | |||
| GetConnection | 授予权限以检索连接 | Read | |||
| GetConnections | 授予权限以检索连接列表 | Read | |||
| GetCrawler | 授予权限以检索爬网程序 | Read | |||
| GetCrawlerMetrics | 授予权限以检索有关爬网程序的指标 | Read | |||
| GetCrawlers | 授予权限以检索所有爬网程序 | 读取 | |||
| GetCustomEntityType | 授予权限以读取自定义实体类型 | 读取 | |||
| GetDataCatalogEncryptionSettings | 授予权限以检索目录加密设置 | Read | |||
| GetDatabase | 授予权限以检索数据库 | Read | |||
| GetDatabases | 授予权限以检索所有数据库 | Read | |||
| GetDataflowGraph | 授予权限以将脚本转换为有向无环图 (DAG) | Read | |||
| GetDevEndpoint | 授予权限以检索开发终端节点 | Read | |||
| GetDevEndpoints | 授予权限以检索所有开发终端节点 | Read | |||
| GetJob | 授予权限以检索作业 | Read | |||
| GetJobBookmark | 授予权限以检索作业书签 | Read | |||
| GetJobRun | 授予权限以检索作业运行 | Read | |||
| GetJobRuns | 授予权限以检索作业的所有作业运行 | Read | |||
| GetJobs | 授予权限以检索所有当前作业 | Read | |||
| GetMLTaskRun | 授予权限以检索 ML 任务运行 | Read | |||
| GetMLTaskRuns | 授予权限以检索所有 ML 任务运行 | List | |||
| GetMLTransform | 授予权限以检索 ML 转换 | Read | |||
| GetMLTransforms | 授予权限以检索所有 ML 转换 | List | |||
| GetMapping | 授予权限以创建映射 | Read | |||
| GetPartition | 授予权限以检索分区 | 读取 | |||
| GetPartitionIndexes | 授予检索表的分区索引的权限 | 读取 | |||
| GetPartitions | 授予权限以检索表的分区 | Read | |||
| GetPlan | 授予权限以检索脚本映射 | Read | |||
| GetRegistry | 授予检索架构注册表的权限 | Read | |||
| GetResourcePolicies | 授予检索资源策略的权限 | Read | |||
| GetResourcePolicy | 授予权限以检索资源策略 | Read | |||
| GetSchema | 授予检索架构容器的权限 | Read | |||
| GetSchemaByDefinition | 授予基于架构定义检索架构版本的权限 | Read | |||
| GetSchemaVersion | 授予检索架构版本的权限 | Read | |||
| GetSchemaVersionsDiff | 授予对比架构注册表中两个架构版本的权限 | Read | |||
| GetSecurityConfiguration | 授予权限以检索安全配置 | Read | |||
| GetSecurityConfigurations | 授予权限以检索一个或多个安全配置 | 读取 | |||
| GetSession | 授予检索交互式会话的权限 | 读取 | |||
| GetStatement | 授予权限以检索交互式会话中语句的相关结果和信息 | 读取 | |||
| GetTable | 授予权限以检索表 | Read | |||
| GetTableVersion | 授予权限以检索表版本 | Read | |||
| GetTableVersions | 授予权限以检索表版本列表 | Read | |||
| GetTables | 授予权限以检索数据库中的表 | Read | |||
| GetTags | 授予权限以检索与资源关联的所有标签 | Read | |||
| GetTrigger | 授予权限以检索触发器 | Read | |||
| GetTriggers | 授予权限以检索与作业关联的触发器 | 读取 | |||
| GetUserDefinedFunction | 授予权限以检索函数定义 | 读取 | |||
| GetUserDefinedFunctions | 授予权限以检索多个函数定义 | Read | |||
| GetWorkflow | 授予权限以检索工作流程 | Read | |||
| GetWorkflowRun | 授予权限以检索工作流程运行 | Read | |||
| GetWorkflowRunProperties | 授予权限以检索工作流程运行属性 | Read | |||
| GetWorkflowRuns | 授予权限以检索工作流程的所有运行 | Read | |||
| ImportCatalogToGlue | 授予权限以将 Athena 数据目录导入到 Amazon Glue 中 | 写入 | |||
| ListBlueprints | 授予权限以检索所有蓝图 | 列表 | |||
| ListCrawlers | 授予权限以检索所有爬网程序 | 列表 | |||
| ListCustomEntityTypes | 授予权限以检索所有自定义实体类型 | 列表 | |||
| ListDevEndpoints | 授予权限以检索所有开发终端节点 | List | |||
| ListJobs | 授予权限以检索所有当前作业 | List | |||
| ListMLTransforms | 授予权限以检索所有 ML 转换 | List | |||
| ListRegistries | 授予检索架构注册表列表的权限 | List | |||
| ListSchemaVersions | 授予检索架构版本列表的权限 | List | |||
| ListSchemas | 授予检索架构容器列表的权限 | 列表 | |||
| ListSessions | 授予检索交互式会话列表的权限 | 列表 | |||
| ListStatements | 授予检索交互式会话中语句列表的权限 | 列表 | |||
| ListTriggers | 授予权限以检索所有触发器 | List | |||
| ListWorkflows | 授予权限以检索所有工作流程 | 列表 | |||
| NotifyEvent | 授予向事件驱动工作流通知事件的权限 | 写入 | |||
| PutDataCatalogEncryptionSettings | 授予权限以更新目录加密设置 | Write | |||
| PutResourcePolicy | 授予权限以更新资源策略 | Permissions management | |||
| PutSchemaVersionMetadata | 授予向架构版本添加元数据的权限 | Write | |||
| PutWorkflowRunProperties | 授予权限以更新工作流程运行属性 | Write | |||
| QuerySchemaVersionMetadata | 授予获取架构版本元数据的权限 | List | |||
| RegisterSchemaVersion | 授予创建新架构版本的权限 | Write | |||
| RemoveSchemaVersionMetadata | 授予从架构版本中删除元数据的权限 | Write | |||
| ResetJobBookmark | 授予权限以重置作业书签 | Write | |||
| ResumeWorkflowRun | 授予权限以恢复工作流程运行 | 写入 | |||
| RunStatement | 授予权限以运行交互式会话中的代码或语句 | 写入 | |||
| SearchTables | 授予权限以检索目录中的表 | 读取 | |||
| StartBlueprintRun | 授予权限以开始运行蓝图 | 写入 | |||
| StartCrawler | 授予权限以启动爬网程序 | Write | |||
| StartCrawlerSchedule | 授予权限以将爬网程序的计划状态更改为 SCHEDULED | Write | |||
| StartExportLabelsTaskRun | 授予权限以启动导出标签 ML 任务运行 | Write | |||
| StartImportLabelsTaskRun | 授予权限以启动导入标签 ML 任务运行 | Write | |||
| StartJobRun | 授予权限以开始运行作业 | Write | |||
| StartMLEvaluationTaskRun | 授予权限以启动评估 ML 任务运行 | Write | |||
| StartMLLabelingSetGenerationTaskRun | 授予权限以启动标签集生成 ML 任务运行 | Write | |||
| StartTrigger | 授予权限以启动触发器 | Write | |||
| StartWorkflowRun | 授予权限以开始运行工作流程 | Write | |||
| StopCrawler | 授予权限以停止运行的爬网程序 | Write | |||
| StopCrawlerSchedule | 授予权限以将爬网程序的计划状态设置为 NOT_SCHEDULED | 写入 | |||
| StopSession | 授予停止交互式会话的权限 | 写入 | |||
| StopTrigger | 授予权限以停止触发器 | Write | |||
| StopWorkflowRun | 授予权限以停止工作流程运行 | Write | |||
| TagResource | 授予权限以将标签添加到资源中 | Tagging | |||
| UntagResource | 授予权限以删除与资源关联的标签 | Tagging | |||
| UpdateBlueprint | 授予权限以更新蓝图 | 写入 | |||
| UpdateClassifier | 授予权限以更新分类器 | 写入 | |||
| UpdateColumnStatisticsForPartition | 授予更新列分区统计信息的权限 | 写入 | |||
| UpdateColumnStatisticsForTable | 授予更新列的表统计信息的权限 | 写入 | |||
| UpdateConnection | 授予权限以更新连接 | Write | |||
| UpdateCrawler | 授予权限以更新爬网程序 | Write | |||
| UpdateCrawlerSchedule | 授予权限以更新爬网程序的计划 | Write | |||
| UpdateDatabase | 授予权限以更新数据库 | Write | |||
| UpdateDevEndpoint | 授予权限以更新开发终端节点 | Write | |||
| UpdateJob | 授予权限以更新作业 | Write | |||
| UpdateMLTransform | 授予权限以更新 ML 转换 | Write | |||
| UpdatePartition | 授予权限以更新分区 | Write | |||
| UpdateRegistry | 授予更新架构注册表的权限 | Write | |||
| UpdateSchema | 授予更新架构容器的权限 | Write | |||
| UpdateTable | 授予权限以更新表 | Write | |||
| UpdateTrigger | 授予权限以更新触发器 | Write | |||
| UpdateUserDefinedFunction | 授予权限以更新函数定义 | Write | |||
| UpdateWorkflow | 授予权限以更新工作流程 | Write | |||
| UseMLTransforms | 授予权限以从 Glue ETL 脚本中使用 ML 转换 | Write |
Amazon Glue 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| catalog |
arn:${Partition}:glue:${Region}:${Account}:catalog
|
|
| database |
arn:${Partition}:glue:${Region}:${Account}:database/${DatabaseName}
|
|
| table |
arn:${Partition}:glue:${Region}:${Account}:table/${DatabaseName}/${TableName}
|
|
| tableversion |
arn:${Partition}:glue:${Region}:${Account}:tableVersion/${DatabaseName}/${TableName}/${TableVersionName}
|
|
| connection |
arn:${Partition}:glue:${Region}:${Account}:connection/${ConnectionName}
|
|
| userdefinedfunction |
arn:${Partition}:glue:${Region}:${Account}:userDefinedFunction/${DatabaseName}/${UserDefinedFunctionName}
|
|
| devendpoint |
arn:${Partition}:glue:${Region}:${Account}:devEndpoint/${DevEndpointName}
|
|
| job |
arn:${Partition}:glue:${Region}:${Account}:job/${JobName}
|
|
| trigger |
arn:${Partition}:glue:${Region}:${Account}:trigger/${TriggerName}
|
|
| crawler |
arn:${Partition}:glue:${Region}:${Account}:crawler/${CrawlerName}
|
|
| workflow |
arn:${Partition}:glue:${Region}:${Account}:workflow/${WorkflowName}
|
|
| blueprint |
arn:${Partition}:glue:${Region}:${Account}:blueprint/${BlueprintName}
|
|
| mlTransform |
arn:${Partition}:glue:${Region}:${Account}:mlTransform/${TransformId}
|
|
| registry |
arn:${Partition}:glue:${Region}:${Account}:registry/${RegistryName}
|
|
| schema |
arn:${Partition}:glue:${Region}:${Account}:schema/${SchemaName}
|
|
| session |
arn:${Partition}:glue:${Region}:${Account}:session/${SessionId}
|
Amazon Glue 的条件键
Amazon Glue 定义了下列可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 根据在请求中是否具有标签键值对以筛选操作 | 字符串 |
| aws:ResourceTag/${TagKey} | 根据附加到资源的标签键值对筛选操作 | 字符串 |
| aws:TagKeys | 根据在请求中是否具有标签键以筛选操作 | 字符串数组 |
| glue:CredentialIssuingService | 按发出请求凭据的服务筛选访问权限 | 字符串 |
| glue:RoleAssumedBy | 通过担任客户角色从中获取请求凭据的服务筛选访问权限 | 字符串 |
| glue:SecurityGroupIds | 按为 Glue 作业配置的安全组的 ID 筛选访问 | 字符串数组 |
| glue:SubnetIds | 根据为 Glue 作业配置的子网 ID 过滤访问 | 字符串数组 |
| glue:VpcIds | 根据为 Glue 作业配置的 VPC ID 过滤访问 | 字符串数组 |