Erste Schritte mit der Verbreitung vertrauenswürdiger Identitäten in AWS Glue ETL - AWS Glue
VoraussetzungenFür die Verbindung von AWS Glue ETL mit IAM Identity Center sind Berechtigungen erforderlichVerbindung AWS Glue mit IAM Identity Center herstellenEine AWS Glue interaktive Sitzung mit aktivierter Trusted Identity Propagation erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit der Verbreitung vertrauenswürdiger Identitäten in AWS Glue ETL

In diesem Abschnitt erfahren Sie, wie Sie eine AWS Glue Anwendung mit interaktiven Sitzungen konfigurieren, um sie in IAM Identity Center zu integrieren und die Verbreitung vertrauenswürdiger Identitäten zu aktivieren.

Voraussetzungen

  • Eine Identity Center-Instanz in der AWS Region, in der Sie AWS Glue interaktive Sitzungen mit aktivierter Trusted Identity Propagation erstellen möchten. Eine Identity Center-Instanz kann für ein AWS Konto nur in einer einzigen Region existieren. Weitere Informationen finden Sie unter Aktivieren von IAM Identity Center und Bereitstellen der Benutzer und Gruppen aus Ihrer Identitätsquelle in IAM Identity Center.

  • Aktivieren Sie die Verbreitung vertrauenswürdiger Identitäten für nachgelagerte Dienste wie Lake Formation oder Amazon S3 Access Grants oder Amazon Redshift Redshift-Cluster, mit denen interaktive Workloads interagieren, um auf Daten zuzugreifen.

Für die Verbindung von AWS Glue ETL mit IAM Identity Center sind Berechtigungen erforderlich

Erstellen einer IAM-Rolle

Die Rolle, die die IAM Identity Center-Verbindung herstellt, erfordert Berechtigungen zum Erstellen und Ändern der Anwendungskonfiguration in AWS Glue IAM Identity Center, wie in der folgenden Inline-Richtlinie beschrieben.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateGlueIdentityCenterConfiguration",
                "sso:CreateApplication",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAccessScope",
                "sso:ListInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Die folgenden Inline-Richtlinien enthalten spezifische Berechtigungen, die zum Anzeigen, Aktualisieren und Löschen der Eigenschaften der AWS Glue Integration mit IAM Identity Center erforderlich sind.

Verwenden Sie die folgende Inline-Richtlinie, um einer IAM-Rolle das Anzeigen einer AWS Glue Integration mit IAM Identity Center zu ermöglichen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetGlueIdentityCenterConfiguration"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Verwenden Sie die folgende Inline-Richtlinie, damit eine IAM-Rolle die AWS Glue Integration mit IAM Identity Center aktualisieren kann.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:UpdateGlueIdentityCenterConfiguration",
                "sso:PutApplicationAccessScope",
                "sso:DeleteApplicationAccessScope"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Verwenden Sie die folgende Inline-Richtlinie, um einer IAM-Rolle das Löschen einer AWS Glue Integration mit IAM Identity Center zu ermöglichen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:DeleteGlueIdentityCenterConfiguration",
                "sso:DeleteApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Beschreibung der Berechtigungen

  • glue:CreateGlueIdentityCenterConfiguration— Erteilt die Erlaubnis, die AWS Glue IdC-Konfiguration zu erstellen.

  • glue:GetGlueIdentityCenterConfiguration— Erteilt die Erlaubnis, eine bestehende IdC-Konfiguration abzurufen.

  • glue:DeleteGlueIdentityCenterConfiguration— Erteilt die Erlaubnis, eine bestehende AWS Glue IdC-Konfiguration zu löschen.

  • glue:UpdateGlueIdentityCenterConfiguration— Erteilt die Erlaubnis, eine bestehende AWS Glue IdC-Konfiguration zu aktualisieren.

  • sso:CreateApplication— Erteilt die Erlaubnis, eine AWS Glue verwaltete IAM Identity Center-Anwendung zu erstellen.

  • sso:DescribeApplication— Erteilt die Erlaubnis, eine AWS Glue verwaltete IAM Identity Center-Anwendung zu beschreiben.

  • sso:DeleteApplication— Erteilt die Berechtigung zum Löschen einer AWS Glue verwalteten IAM Identity Center-Anwendung.

  • sso:UpdateApplication— Erteilt die Erlaubnis, eine AWS Glue verwaltete IAM Identity Center-Anwendung zu aktualisieren.

  • sso:PutApplicationGrant— Erteilt die Erlaubnis, Token-Exchange, IntrospectToken, RefreshToken und Grants auf IdC-Anwendungen anzuwenden. RevokeToken

  • sso:PutApplicationAuthenticationMethod— Erteilt die Erlaubnis, AuthenticationMethod auf eine AWS Glue verwaltete IdC-Anwendung anzuwenden, sodass der Dienstprinzipal mit der IdC-Anwendung interagieren kann. AWS Glue

  • sso:PutApplicationAccessScope— Erteilt die Berechtigung, die Liste der autorisierten Downstream-Servicebereiche in der verwalteten IdC-Anwendung hinzuzufügen oder zu aktualisieren. AWS Glue

  • sso:DeleteApplicationAccessScope- Erteilt die Erlaubnis, Downstream-Bereiche zu löschen, wenn ein Bereich für die AWS Glue verwaltete IdC-Anwendung entfernt wird.

  • sso:PutApplicationAssignmentConfiguration— Erteilt die Berechtigung, die Einstellung „User-assignment-not-required“ in der IdC-Anwendung festzulegen.

  • sso:ListInstances— Erteilt die Berechtigung, Instanzen aufzulisten und den IDc zu validieren InstanceArn , den Sie im identity-center-configuration Parameter angeben.

Verbindung AWS Glue mit IAM Identity Center herstellen

Wenn AWS Glue eine Verbindung mit dem IAM Identity Center hergestellt ist, wird pro Konto eine einzige verwaltete IdC-Anwendung erstellt. Das folgende Beispiel zeigt, wie Sie eine Verbindung AWS Glue mit IAM Identity Center herstellen können:

aws glue create-glue-identity-center-configuration \
--instance-arn arn:aws:sso:::instance/ssoins-123456789 \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'

Um die Bereiche der verwalteten Anwendung zu aktualisieren (normalerweise zur Weitergabe an weitere nachgelagerte Dienste), können Sie Folgendes verwenden:

aws glue update-glue-identity-center-configuration \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'

Der Parameter Scopes ist optional und alle Bereiche werden hinzugefügt, wenn sie nicht angegeben werden. Die unterstützten Werte sinds3:access_grants:read_write, undredshift:connect. lakeformation:query

Um die Details der Konfiguration abzurufen, können Sie Folgendes verwenden:

aws glue get-glue-identity-center-configuration

Sie können die Verbindung zwischen AWS Glue und IAM Identity Center löschen, indem Sie den folgenden Befehl verwenden:

aws glue delete-glue-identity-center-configuration
Anmerkung

AWS Glue erstellt in Ihrem Konto eine vom Dienst verwaltete Identity Center-Anwendung, die der Dienst für Identitätsprüfungen und die Weitergabe von Identitäten an nachgelagerte Dienste nutzt. AWS Glue Die erstellte verwaltete Identity Center-Anwendung wird von allen trusted-identity-propagation Sitzungen in Ihrem Konto gemeinsam genutzt.

Warnung: Ändern Sie die Einstellungen der verwalteten Identity Center-Anwendung nicht manuell. Alle Änderungen könnten sich auf alle trusted-identity-propagation aktivierten AWS Glue interaktiven Sitzungen in Ihrem Konto auswirken.

Eine AWS Glue interaktive Sitzung mit aktivierter Trusted Identity Propagation erstellen

Nachdem Sie eine Verbindung AWS Glue mit IAM Identity Center hergestellt haben, können Sie identitätserweiterte Rollenanmeldedaten verwenden, um eine AWS Glue interaktive Sitzung zu erstellen. Sie müssen keine zusätzlichen Parameter übergeben, wenn Sie eine 5.0-Sitzung erstellen. AWS Glue Da es mit dem IAM Identity Center verbunden AWS Glue ist, leitet es bei AWS Glue Erkennung identity-enhanced-role-credentials die Identitätsinformationen automatisch an nachgelagerte Dienste weiter, die im Rahmen Ihrer Kontoauszüge aufgerufen werden. Die Runtime-Rolle für die Sitzung benötigt jedoch die unten dargestellte sts:SetContext Berechtigung.

Runtime-Rollenberechtigungen zur Weitergabe von Identität

Da AWS Glue Sitzungen identitätserweiterte Anmeldeinformationen nutzen, um Identität an nachgelagerte AWS Dienste weiterzugeben, muss die Vertrauensrichtlinie ihrer Laufzeitrolle über zusätzliche Berechtigungen sts:SetContext verfügen, um die Identitätsweitergabe an nachgelagerte Dienste (Amazon S3 Access-Grant, Lake Formation, Amazon Redshift) zu ermöglichen. Weitere Informationen zum Erstellen einer Runtime-Rolle finden Sie unter Runtime-Rolle einrichten. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "glue.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
      ]
    }
  ]
}

Darüber hinaus würde die Runtime-Rolle Berechtigungen für nachgelagerte AWS Dienste benötigen, die Job-Run aufrufen würde, um Daten mithilfe der Benutzeridentität abzurufen. Bitte folgen Sie den folgenden Links, um Amazon S3 Access Grants und Lake Formation zu konfigurieren: