Initiation à la propagation fiable des identités dans l' AWS Glue ETL - AWS Glue
PrérequisAutorisations nécessaires pour connecter l' AWS Glue ETL à IAM Identity CenterConnexion AWS Glue à IAM Identity CenterCréation d'une session AWS Glue interactive avec activation de la propagation d'identité sécurisée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Initiation à la propagation fiable des identités dans l' AWS Glue ETL

Cette section vous aide à configurer AWS Glue l'application avec des sessions interactives afin de l'intégrer à IAM Identity Center et de permettre la propagation d'identités fiables.

Prérequis

  • Une instance d'Identity Center située dans la AWS région où vous souhaitez créer des sessions AWS Glue interactives activées par la propagation d'identités fiables. Une instance d'Identity Center ne peut exister que dans une seule région pour un AWS compte. Pour plus d'informations, voir Activer le centre d'identité IAM et configurer les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center.

  • Activez la propagation fiable des identités pour les services en aval tels que Lake Formation ou Amazon S3 Access Grants ou le cluster Amazon Redshift avec lequel une charge de travail interactive interagit pour accéder aux données.

Autorisations nécessaires pour connecter l' AWS Glue ETL à IAM Identity Center

Créer un rôle IAM

Le rôle qui crée la connexion à IAM Identity Center nécessite des autorisations pour créer et modifier la configuration de l'application dans AWS Glue IAM Identity Center, conformément à la politique en ligne suivante.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateGlueIdentityCenterConfiguration",
                "sso:CreateApplication",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAccessScope",
                "sso:ListInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Les politiques intégrées suivantes contiennent des autorisations spécifiques requises pour afficher, mettre à jour et supprimer les propriétés d' AWS Glue intégration avec IAM Identity Center.

Utilisez la politique intégrée suivante pour autoriser un rôle IAM à visualiser une AWS Glue intégration avec IAM Identity Center.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetGlueIdentityCenterConfiguration"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Utilisez la politique intégrée suivante pour autoriser un rôle IAM à mettre à jour AWS Glue l'intégration avec IAM Identity Center.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:UpdateGlueIdentityCenterConfiguration",
                "sso:PutApplicationAccessScope",
                "sso:DeleteApplicationAccessScope"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Utilisez la politique intégrée suivante pour autoriser un rôle IAM à supprimer une AWS Glue intégration avec IAM Identity Center.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:DeleteGlueIdentityCenterConfiguration",
                "sso:DeleteApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Description des autorisations

  • glue:CreateGlueIdentityCenterConfiguration— Accorde l'autorisation de créer la configuration AWS Glue iDC.

  • glue:GetGlueIdentityCenterConfiguration— Accorde l'autorisation d'obtenir une configuration iDC existante.

  • glue:DeleteGlueIdentityCenterConfiguration— Accorde l'autorisation de supprimer une configuration AWS Glue iDC existante.

  • glue:UpdateGlueIdentityCenterConfiguration— Autorise la mise à jour d'une configuration AWS Glue iDC existante.

  • sso:CreateApplication— Accorde l'autorisation de créer une application IAM Identity Center AWS Glue gérée.

  • sso:DescribeApplication- Accorde l'autorisation de décrire une application IAM Identity Center AWS Glue gérée.

  • sso:DeleteApplication— Accorde l'autorisation de supprimer une application IAM Identity Center AWS Glue gérée.

  • sso:UpdateApplication— Autorise la mise à jour d'une application IAM Identity Center AWS Glue gérée.

  • sso:PutApplicationGrant— Accorde l'autorisation d'appliquer l'échange de jetons, IntrospectToken, RefreshToken et des subventions sur l'application iDC. RevokeToken

  • sso:PutApplicationAuthenticationMethod— Accorde l'autorisation de mettre AuthenticationMethod sur une application iDC AWS Glue gérée qui permet au principal de AWS Glue service d'interagir avec l'application iDC.

  • sso:PutApplicationAccessScope— Autorise l'ajout ou la mise à jour de la liste des étendues de service en aval autorisées sur l'application iDC AWS Glue gérée.

  • sso:DeleteApplicationAccessScope- Accorde l'autorisation de supprimer des étendues en aval si une étendue est supprimée pour l'application iDC AWS Glue gérée.

  • sso:PutApplicationAssignmentConfiguration— Accorde l'autorisation de définir le paramètre « U ser-assignment-not-required » sur l'application iDC.

  • sso:ListInstances— Accorde l'autorisation de répertorier les instances et de valider l'IDC InstanceArn que vous spécifiez en identity-center-configuration paramètre.

Connexion AWS Glue à IAM Identity Center

Lorsqu'il AWS Glue est connecté à IAM Identity Center, il crée une application iDC gérée par un singleton par compte. L'exemple suivant montre comment vous connecter AWS Glue à IAM Identity Center :

aws glue create-glue-identity-center-configuration \
--instance-arn arn:aws:sso:::instance/ssoins-123456789 \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'

Pour mettre à jour les étendues de l'application gérée (généralement pour se propager à un plus grand nombre de services en aval), vous pouvez utiliser :

aws glue update-glue-identity-center-configuration \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'

Le paramètre Scopes est facultatif et tous les scopes seront ajoutés s'ils ne sont pas fournis. Les valeurs prises en charge sonts3:access_grants:read_write, redshift:connect etlakeformation:query.

Pour obtenir les détails de la configuration, vous pouvez utiliser :

aws glue get-glue-identity-center-configuration

Vous pouvez supprimer la connexion entre AWS Glue IAM Identity Center à l'aide de la commande suivante :

aws glue delete-glue-identity-center-configuration
Note

AWS Glue crée une application Identity Center gérée par un service dans votre compte que le service utilise pour les validations d'identité et la propagation des identités vers les services en aval. AWS Glue L'application Identity Center gérée créée est partagée entre toutes les trusted-identity-propagation sessions de votre compte.

Avertissement : ne modifiez pas manuellement les paramètres de l'application Identity Center gérée. Toute modification peut affecter toutes les sessions AWS Glue interactives trusted-identity-propagation activées dans votre compte.

Création d'une session AWS Glue interactive avec activation de la propagation d'identité sécurisée

Une fois connecté AWS Glue à IAM Identity Center, vous pouvez utiliser les informations d'identification de rôle améliorées pour créer une AWS Glue session interactive. Il n'est pas nécessaire de transmettre des paramètres supplémentaires lors de la création d'une AWS Glue session 5.0. Comme il AWS Glue est connecté au centre d'identité IAM, s'il est AWS Glue détecté identity-enhanced-role-credentials, il propagera automatiquement les informations d'identité aux services en aval appelés dans le cadre de vos déclarations. Cependant, le rôle d'exécution de la session doit disposer de l'sts:SetContextautorisation décrite ci-dessous.

Autorisations du rôle d'exécution pour propager l'identité

Comme les AWS Glue sessions utilisent les informations d'identification améliorées par Identity pour propager l'identité aux AWS services en aval, la politique de confiance associée à son rôle d'exécution doit disposer d'une autorisation supplémentaire pour autoriser la propagation de l'identité sts:SetContext vers les services en aval (Amazon S3 access-grant, Lake Formation, Amazon Redshift). Pour en savoir plus sur la création d'un rôle d'exécution, voir Configuration d'un rôle d'exécution. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "glue.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
      ]
    }
  ]
}

De plus, le rôle Runtime aurait besoin d'autorisations pour les AWS services en aval que job-run invoquerait pour récupérer des données en utilisant l'identité de l'utilisateur. Consultez les liens suivants pour configurer les autorisations d'accès Amazon S3 et Lake Formation :