Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS tags dans AWS Glue
Pour mieux gérer vos ressources AWS Glue, vous pouvez éventuellement attribuer vos propres balises à certains types de ressources AWS Glue. Une étiquette est une étiquette que vous attribuez à une AWS ressource. Chaque balise est constituée d’une clé et d’une valeur facultative que vous définissez. Vous pouvez utiliser des balises dans AWS Glue pour identifier et organiser vos ressources. Des balises peuvent être utilisées pour créer des rapports de comptabilisation des coûts et limiter l'accès aux ressources. Si vous en utilisez Gestion des identités et des accès AWS, vous pouvez contrôler quels utilisateurs de votre AWS compte sont autorisés à créer, modifier ou supprimer des tags. Outre les autorisations d'appel liées à l'étiquette APIs, vous devez également être glue:GetConnection autorisée à étiqueter les appels APIs sur les connexions et à étiqueter les glue:GetDatabase appels sur les bases de données APIs . Pour de plus amples informations, veuillez consulter ABAC avec Glue AWS.
Dans AWS Glue, vous pouvez baliser les ressources suivantes :
Connexion
Base de données
crawler
Session interactive
Point de terminaison de développement
Tâche
Déclencheur
Flux de travail
Plan
Transformation de machine learning
Ensemble de règles de qualité des données
Schémas de flux
Registres de schémas de flux
Note
La bonne pratique afin d'autoriser le balisage de ces ressources AWS Glue consiste à toujours inclure l'action glue:TagResource dans vos politiques.
Tenez compte des éléments suivants lorsque vous utilisez des balises avec AWS Glue.
Un maximum de 50 balises sont prises en charge par entité.
Dans AWS Glue, vous spécifiez les balises sous la forme d'une liste de paires clé-valeur au format
{"string": "string" ...}Lorsque vous créez une balise sur un objet, la clé de balise est obligatoire et la valeur de balise est facultative.
La clé de balise et la valeur de balise sont sensibles à la casse.
La clé de balise et la valeur de balise ne doivent pas contenir le préfixe aws. Aucune opération n'est autorisée sur ces balises.
La longueur maximale des clés de balise est de 128 caractères Unicode en UTF-8. La clé de balise ne doit pas être vide ni null.
La longueur maximale des valeurs de balise est de 256 caractères Unicode en UTF-8. La valeur de balise peut être vide ou null.
Support de balisage pour les connexions AWS Glue
Vous pouvez restreindre l'autorisation d'actions CreateConnection, UpdateConnection, GetConnection et DeleteConnection en fonction d'identification de ressources. Cela vous permet de mettre en œuvre le contrôle d'accès avec le moindre privilège sur les AWS Glue tâches comportant des sources de données JDBC qui doivent extraire les informations de connexion JDBC depuis le catalogue de données.
Exemple d’utilisation
Créez une AWS Glue connexion avec le tag ["connection-category », « dev-test"].
Spécifiez la condition de l'identification pour l'action GetConnection dans la politique IAM.
{ "Effect": "Allow", "Action": [ "glue:GetConnection" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:ResourceTag/tagKey": "dev-test" } } }
Exemples
Les exemples suivants créent une tâche avec des balises attribuées.
AWS CLI
aws glue create-job --name job-test-tags --role MyJobRole --command Name=glueetl,ScriptLocation=S3://aws-glue-scripts//prod-job1 --tags key1=value1,key2=value2
CloudFormation JSON
{ "Description": "AWS Glue Job Test Tags", "Resources": { "MyJobRole": { "Type": "AWS::IAM::Role", "Properties": { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "glue.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] }, "Path": "/", "Policies": [ { "PolicyName": "root", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] } } ] } }, "MyJob": { "Type": "AWS::Glue::Job", "Properties": { "Command": { "Name": "glueetl", "ScriptLocation": "s3://aws-glue-scripts//prod-job1" }, "DefaultArguments": { "--job-bookmark-option": "job-bookmark-enable" }, "ExecutionProperty": { "MaxConcurrentRuns": 2 }, "MaxRetries": 0, "Name": "cf-job1", "Role": { "Ref": "MyJobRole", "Tags": { "key1": "value1", "key2": "value2" } } } } } }
CloudFormation YAML
Description: AWS Glue Job Test Tags Resources: MyJobRole: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Principal: Service: - glue.amazonaws.com Action: - sts:AssumeRole Path: "/" Policies: - PolicyName: root PolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Action: "*" Resource: "*" MyJob: Type: AWS::Glue::Job Properties: Command: Name: glueetl ScriptLocation: s3://aws-glue-scripts//prod-job1 DefaultArguments: "--job-bookmark-option": job-bookmark-enable ExecutionProperty: MaxConcurrentRuns: 2 MaxRetries: 0 Name: cf-job1 Role: Ref: MyJobRole Tags: key1: value1 key2: value2
Pour de plus amples informations, veuillez consulter Politiques de balisage AWS
Pour obtenir des informations sur la façon de contrôler l'accès à l'aide de balises, consultez ABAC avec Glue AWS.
