Otorgamiento de políticas con un alcance dinámico para la ejecución de trabajos
AWS Glue ofrece una capacidad nueva y poderosa: políticas de sesión dinámicas para la ejecución de trabajos. Esta característica le permite especificar permisos personalizados y detallados para cada ejecución de trabajo sin necesidad de crear varios roles de IAM.
Cuando inicia un trabajo de Glue con la API StartJobRun, puede incluir una política de sesión en línea. Esta política modifica temporalmente los permisos del rol de ejecución del trabajo durante la ejecución de ese trabajo específico. Es similar al uso de credenciales temporales con la API AssumeRole en otros servicios de AWS.
Seguridad mejorada: puede limitar los permisos de trabajo al mínimo necesario para cada ejecución.
Administración simplificada: elimina la necesidad de crear y mantener numerosos roles de IAM para diferentes escenarios.
Flexibilidad: puede ajustar los permisos dinámicamente en función de los parámetros de tiempo de ejecución o de las necesidades específicas del inquilino.
Escalabilidad: este método destaca en entornos de varios inquilinos donde es necesario aislar los recursos entre inquilinos.
Ejemplos para el otorgamiento del uso de políticas con alcance dinámico:
En los siguientes ejemplos, se muestra cómo otorgar acceso de lectura y escritura a los trabajos solo a una ruta de bucket de Amazon S3 específica, donde la ruta se determina dinámicamente mediante el ID de ejecución del trabajo. Esto ilustra cómo implementar permisos detallados y específicos de ejecución para cada ejecución de trabajo.
Desde la CLI
aws glue start-job-run \ --job-name "your-job-name" \ --execution-role-session-policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::specific-bucket/${JobRunId}/*" ] } ] }'
