Consideraciones y limitaciones para la integración de AWS Glue ETL Trusted Identity Propagation

importante

De forma predeterminada, las sesiones no son privadas, lo que significa que un usuario de IdC puede acceder a la sesión de otro usuario de IdC. Puede usar tagOnCreate para configurar las sesiones como privadas. Por ejemplo, la sesión puede etiquetarse con una etiqueta de propietario y su valor como ID de usuario de IDC. En la política, puede utilizar una clave de condición global como identitystore:UserId para validar con la etiqueta de propietario en la política de rol de entidad principal o tiempo de ejecución del cliente para todas las operaciones de la API de la sesión, a fin de garantizar que un usuario de IdC no pueda acceder a la sesión de otro usuario de IdC.

Tenga en cuenta estos puntos cuando utilice la propagación de identidades de confianza de IAM Identity Center con la aplicación de AWS Glue:

La propagación de identidades de confianza a través de Identity Center es compatible con AWS Glue 5.0 y versiones posteriores, y solo con las sesiones interactivas de AWS Glue.
El catálogo de datos de AWS Glue se incluye en la integración de Lake Formation con Identity Center.
La propagación de identidades de confianza se limita a las sesiones interactivas de AWS Glue, sin incluir otras entidades de procesamiento de datos como los trabajos, los desencadenadores, los flujos de trabajo y las tareas de aprendizaje automático. Sin embargo, todas las API de AWS Glue registran las identidades de los usuarios en AWS CloudTrail para su auditoría.
AWS Glue actualmente admite la integración con IAM Identity Center exclusivamente a través de las interfaces de CLI y API, no a través de la consola.
Una vez que habilite una aplicación en la AWS Glue, asegúrese de crear sesiones 5.0 con credenciales de IdC, pero no cree una sesión 4.0 con credenciales de IdC.
La propagación de identidades de confianza con AWS Glue es compatible en las siguientes regiones de AWS:
- af-south-1: África (Ciudad del Cabo)
- ap-east-1: Asia-Pacífico (Hong Kong)
- ap-northeast-1 – Asia-Pacífico (Tokio)
- ap-northeast-2: Asia Pacífico (Seúl)
- ap-northeast-3: Asia-Pacífico (Osaka)
- ap-south-1: Asia Pacífico (Mumbai)
- ap-southeast-1 – Asia-Pacífico (Singapur)
- ap-southeast-2 – Asia-Pacífico (Sídney)
- ap-southeast-3: Asia-Pacífico (Yakarta)
- ca-central-1: Canadá (Central)
- eu-central-1 – Europa (Fráncfort)
- eu-north-1: Europa (Estocolmo)
- eu-south-1: Europa (Milán)
- eu-west-1 – Europa (Irlanda)
- eu-west-2: Europa (Londres)
- eu-west-3: Europa (París)
- me-south-1: Medio Oriente (Baréin)
- sa-east-1: América del Sur (São Paulo)
- us-east-1 – EE. UU. Este (Norte de Virginia)
- us-east-2 – EE. UU. Este (Ohio)
- us-west-1: EE. UU. Oeste (Norte de California)
- us-west-2 – EE. UU. Oeste (Oregón)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo empezar con la propagación de identidades de confianza en AWS Glue ETL

Registro y monitoreo