Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Vertrauenswürdige Identitätsverbreitung mit AWS Glue ETL
Mit IAM Identity Center können Sie eine Verbindung zu Identitätsanbietern (IdPs) herstellen und den Zugriff für Benutzer und Gruppen über Analysedienste hinweg zentral verwalten. AWS Sie können Identitätsanbieter wie Okta, Ping und Microsoft Entra ID (früher Azure Active Directory) in IAM Identity Center integrieren, damit Benutzer in Ihrer Organisation über eine Single-Sign-On-Erfahrung auf Daten zugreifen können. IAM Identity Center unterstützt auch die Verbindung weiterer Identitätsanbieter von Drittanbietern.
Mit AWS Glue 5.0 und höher können Sie Benutzeridentitäten aus dem IAM Identity Center auf interaktive Sitzungen übertragen. AWS Glue AWS Glue Interactive Sessions wird die bereitgestellte Identität weiter an nachgelagerte Dienste wie Amazon S3 Access Grants und Amazon Redshift weitergeben und so einen sicheren Datenzugriff über Benutzeridentitäten in diesen nachgelagerten Diensten ermöglichen. AWS Lake Formation
Übersicht
Identity Center ist der empfohlene Ansatz für die Authentifizierung und Autorisierung von Mitarbeitern AWS für Unternehmen jeder Größe und Art. Mit Identity Center können Sie Benutzeridentitäten in Ihrer vorhandenen Identitätsquelle AWS, einschließlich Microsoft Active Directory, Okta, Ping Identity, Google Workspace und Microsoft Entra ID (ehemals Azure AD) JumpCloud, erstellen und verwalten oder eine Verbindung zu Ihrer vorhandenen Identitätsquelle herstellen.
Die Verbreitung vertrauenswürdiger Identitäten ist eine IAM Identity Center-Funktion, mit der Administratoren verbundener AWS Dienste Zugriff auf Servicedaten gewähren und prüfen können. Der Zugriff auf diese Daten basiert auf Benutzerattributen wie Gruppenzuordnungen. Die Einrichtung der Verbreitung vertrauenswürdiger Identitäten erfordert die Zusammenarbeit zwischen den Administratoren der verbundenen AWS Dienste und den IAM Identity Center-Administratoren.
Features und Vorteile
Die Integration AWS Glue interaktiver Sitzungen mit IAM Identity Center Trusted Identity Propagation bietet die folgenden Vorteile:
Die Möglichkeit, Autorisierung auf Tabellenebene und detaillierte Zugriffskontrolle mit Identity Center-Identitäten in von Lake Formation verwalteten AWS Glue Datenkatalogtabellen durchzusetzen.
Die Möglichkeit, die Autorisierung mit Identity Center-Identitäten auf Amazon Redshift Redshift-Clustern durchzusetzen.
Ermöglicht die lückenlose Nachverfolgung von Benutzeraktionen zu Prüfungszwecken.
Die Möglichkeit, die Amazon S3-Autorisierung auf Präfixebene mit Identity Center-Identitäten auf Amazon S3 Access Grants-verwalteten Amazon S3 S3-Präfixen durchzusetzen.
Anwendungsfälle
Interaktive Datenexploration und -analyse
Dateningenieure verwenden ihre Unternehmensidentitäten, um nahtlos auf Daten mehrerer AWS Konten zuzugreifen und diese zu analysieren. Über SageMaker Studio starten sie interaktive Spark-Sitzungen über AWS Glue ETL und stellen eine Verbindung zu verschiedenen Datenquellen her, darunter Amazon S3 und dem AWS Glue Datenkatalog. Während Ingenieure Datensätze untersuchen, setzt Spark detaillierte Zugriffskontrollen durch, die in Lake Formation auf der Grundlage ihrer Identitäten definiert wurden, sodass sichergestellt wird, dass sie nur autorisierte Daten einsehen können. Alle Abfragen und Datentransformationen werden mit der Identität des Benutzers protokolliert, wodurch ein klarer Prüfpfad entsteht. Dieser optimierte Ansatz ermöglicht die schnelle Prototypenentwicklung neuer Analyseprodukte bei gleichzeitiger Einhaltung einer strengen Datenverwaltung in allen Kundenumgebungen.
Datenaufbereitung und Feature-Engineering
Datenwissenschaftler aus mehreren Forschungsteams arbeiten mithilfe einer einheitlichen Datenplattform an komplexen Projekten zusammen. Sie melden sich mit ihren Unternehmensanmeldedaten bei SageMaker Studio an und greifen sofort auf einen riesigen, gemeinsam genutzten Data Lake zu, der sich über mehrere AWS Konten erstreckt. Während sie mit der Feature-Entwicklung für neue Modelle des maschinellen Lernens beginnen, setzen die über AWS Glue ETL gestarteten Spark-Sitzungen die Sicherheitsrichtlinien von Lake Formation auf Spalten- und Zeilenebene auf der Grundlage ihrer weitergegebenen Identitäten durch. Wissenschaftler können mit vertrauten Tools Daten effizient aufbereiten und Funktionen entwickeln, während die Compliance-Teams die Gewissheit haben, dass jede Dateninteraktion automatisch verfolgt und geprüft wird. Diese sichere, kollaborative Umgebung beschleunigt die Forschungspipelines und hält gleichzeitig die strengen Datenschutzstandards aufrecht, die in regulierten Branchen erforderlich sind.
Funktionsweise
Ein Benutzer meldet sich mit seiner Unternehmensidentität über IAM Identity Center bei kundenorientierten Anwendungen (SageMaker KI oder benutzerdefinierte Anwendungen) an. Diese Identität wird dann über die gesamte Datenzugriffspipeline weitergegeben.
Der authentifizierte Benutzer startet AWS AWS Glue interaktive Sitzungen, die als Compute-Engine für die Datenverarbeitung dienen. In diesen Sitzungen wird der Identitätskontext des Benutzers während des gesamten Workflows beibehalten.
AWS Lake Formation und der AWS Glue Datenkatalog arbeiten zusammen, um differenzierte Zugriffskontrollen durchzusetzen. Lake Formation wendet Sicherheitsrichtlinien an, die auf der weitergegebenen Identität des Benutzers basieren, während Amazon S3 Access Grant zusätzliche Berechtigungsebenen bietet, sodass Benutzer nur auf Daten zugreifen können, zu deren Anzeige sie berechtigt sind.
Schließlich stellt das System eine Verbindung zu Amazon S3 Storage her, wo sich die eigentlichen Daten befinden. Der gesamte Zugriff wird durch die kombinierten Sicherheitsrichtlinien geregelt, wodurch die Datenverwaltung gewahrt bleibt und gleichzeitig eine interaktive Datenerkundung und -analyse ermöglicht wird. Diese Architektur ermöglicht einen sicheren, identitätsbasierten Datenzugriff über mehrere AWS Dienste hinweg und gewährleistet gleichzeitig eine nahtlose Benutzererfahrung für Datenwissenschaftler und Ingenieure, die mit großen Datensätzen arbeiten.
Integrationen
AWS verwaltete Entwicklungsumgebung
Die folgenden AWS verwalteten clientseitigen Anwendungen unterstützen die Verbreitung vertrauenswürdiger Identitäten mit AWS Glue interaktiven Sitzungen:
Einheitliches Studio von Sagemaker
So verwenden Sie Trusted Identity Propagation mit Sagemaker Unified Studio:
Richten Sie das Sagemaker Unified Studio-Projekt mit aktivierter Verbreitung vertrauenswürdiger Identitäten als clientseitige Entwicklungsumgebung ein.
Richten Sie Lake Formation ein, um eine differenzierte Zugriffskontrolle für AWS Glue Tabellen zu ermöglichen, die auf dem Benutzer oder der Gruppe in IAM Identity Center basieren.
Richten Sie Amazon S3 Access Grants ein, um den temporären Zugriff auf die zugrunde liegenden Datenspeicherorte in Amazon S3 zu ermöglichen.
Öffnen Sie den JupyterLab IDE-Bereich von Sagemaker Unified Studio und wählen Sie den Bereich AWS Glue als Rechenleistung für die Notebook-Ausführung aus.
Vom Kunden verwaltete, selbst gehostete Notebook-Umgebung
Informationen zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten für Benutzer von kundenspezifisch entwickelten Anwendungen finden Sie unter Programmgesteuerter Zugriff auf AWS Dienste mithilfe von vertrauenswürdiger Identitätsverbreitung im Sicherheitsblog
