Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memulai propagasi identitas tepercaya di AWS Glue ETL
Bagian ini membantu Anda mengonfigurasi AWS Glue aplikasi dengan sesi interaktif untuk diintegrasikan dengan IAM Identity Center dan mengaktifkan propagasi identitas Tepercaya.
Prasyarat
Instance Pusat Identitas di AWS wilayah tempat Anda ingin membuat propagasi identitas Tepercaya mengaktifkan sesi AWS Glue interaktif. Instance Pusat Identitas hanya dapat ada di satu wilayah untuk AWS akun. Untuk informasi selengkapnya, lihat Aktifkan Pusat Identitas IAM dan berikan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM.
-
Aktifkan propagasi identitas Tepercaya untuk layanan hilir seperti Lake Formation atau Amazon S3 Access Grants atau klaster Amazon Redshift yang berinteraksi dengan beban kerja interaktif untuk mengakses data.
Izin diperlukan untuk menghubungkan AWS Glue ETL dengan IAM Identity Center
Membuat peran IAM
Peran yang membuat koneksi IAM Identity Center memerlukan izin untuk membuat dan memodifikasi konfigurasi aplikasi di AWS Glue dan IAM Identity Center seperti dalam kebijakan inline berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateGlueIdentityCenterConfiguration", "sso:CreateApplication", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope", "sso:ListInstances" ], "Resource": [ "*" ] } ] }
Kebijakan inline berikut berisi izin khusus yang diperlukan untuk melihat, memperbarui, dan menghapus properti AWS Glue integrasi dengan IAM Identity Center.
Gunakan kebijakan inline berikut untuk mengizinkan peran IAM untuk melihat AWS Glue integrasi dengan IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetGlueIdentityCenterConfiguration" ], "Resource": [ "*" ] } ] }
Gunakan kebijakan inline berikut untuk mengizinkan peran IAM memperbarui AWS Glue integrasi dengan IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:UpdateGlueIdentityCenterConfiguration", "sso:PutApplicationAccessScope", "sso:DeleteApplicationAccessScope" ], "Resource": [ "*" ] } ] }
Gunakan kebijakan inline berikut untuk mengizinkan peran IAM menghapus AWS Glue integrasi dengan IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:DeleteGlueIdentityCenterConfiguration", "sso:DeleteApplication" ], "Resource": [ "*" ] } ] }
Deskripsi izin
glue:CreateGlueIdentityCenterConfiguration— Memberikan izin untuk membuat konfigurasi AWS Glue IDC.glue:GetGlueIdentityCenterConfiguration— Memberikan izin untuk mendapatkan konfigurasi IDC yang ada.glue:DeleteGlueIdentityCenterConfiguration— Memberikan izin untuk menghapus konfigurasi AWS Glue IDC yang ada.glue:UpdateGlueIdentityCenterConfiguration— Memberikan izin untuk memperbarui konfigurasi AWS Glue IDC yang ada.sso:CreateApplication— Memberikan izin untuk membuat aplikasi Pusat Identitas IAM yang AWS Glue dikelola.sso:DescribeApplication- Memberikan izin untuk menjelaskan aplikasi Pusat Identitas IAM yang AWS Glue dikelola.sso:DeleteApplication— Memberikan izin untuk menghapus aplikasi Pusat Identitas IAM yang AWS Glue dikelola.sso:UpdateApplication— Memberikan izin untuk memperbarui aplikasi Pusat Identitas IAM yang AWS Glue dikelola.sso:PutApplicationGrant— Memberikan izin untuk menerapkan token-exchange, introspectToken, RefreshToken dan hibah pada Aplikasi IDC. RevokeTokensso:PutApplicationAuthenticationMethod— Memberikan izin untuk menempatkan AuthenticationMethod pada Aplikasi IDC AWS Glue terkelola yang memungkinkan prinsipal AWS Glue layanan untuk berinteraksi dengan Aplikasi IDC.sso:PutApplicationAccessScope— Memberikan izin untuk menambah atau memperbarui daftar cakupan layanan downstream resmi pada aplikasi IDC yang AWS Glue dikelola.sso:DeleteApplicationAccessScope- Memberikan izin untuk menghapus cakupan hilir jika cakupan dihapus untuk aplikasi IDC AWS Glue terkelola.sso:PutApplicationAssignmentConfiguration— Memberikan izin untuk mengatur pengaturan “User-assignment-not-required” pada Aplikasi IDC.sso:ListInstances— Memberikan izin untuk membuat daftar instance dan memvalidasi IDC InstanceArn yang Anda tentukan dalam parameter. identity-center-configuration
Terhubung AWS Glue dengan Pusat Identitas IAM
Ketika AWS Glue terhubung ke IAM Identity Center, ia menciptakan aplikasi IDC terkelola tunggal per akun. Contoh berikut menunjukkan bagaimana Anda dapat terhubung AWS Glue dengan IAM Identity Center:
aws glue create-glue-identity-center-configuration \ --instance-arn arn:aws:sso:::instance/ssoins-123456789 \ --scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
Untuk memperbarui cakupan aplikasi yang dikelola (biasanya dilakukan untuk menyebarkan ke lebih banyak layanan hilir), Anda dapat menggunakan:
aws glue update-glue-identity-center-configuration \ --scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
Parameter cakupan adalah opsional dan semua cakupan akan ditambahkan jika tidak disediakan. Nilai yang didukung adalahs3:access_grants:read_write, redshift:connect danlakeformation:query.
Untuk mendapatkan detail konfigurasi, Anda dapat menggunakan:
aws glue get-glue-identity-center-configuration
Anda dapat menghapus koneksi antara AWS Glue dan IAM Identity Center dengan menggunakan perintah berikut:
aws glue delete-glue-identity-center-configuration
catatan
AWS Glue membuat Aplikasi Pusat Identitas terkelola layanan di akun Anda yang memanfaatkan layanan untuk validasi identitas dan propagasi identitas ke layanan hilir. AWS Glue Aplikasi Pusat Identitas terkelola yang dibuat dibagikan di semua trusted-identity-propagation sesi di akun Anda.
Peringatan: Jangan mengubah pengaturan secara manual pada Aplikasi Pusat Identitas yang dikelola. Perubahan apa pun dapat memengaruhi semua sesi AWS Glue interaktif yang trusted-identity-propagation diaktifkan di akun Anda.
Membuat Sesi AWS Glue Interaktif dengan Propagasi Identitas Tepercaya Diaktifkan
Setelah terhubung AWS Glue dengan IAM Identity Center, Anda dapat menggunakan kredenal peran yang disempurnakan identitas untuk membuat sesi interaktif. AWS Glue Anda tidak perlu melewati parameter tambahan saat membuat AWS Glue sesi 5.0. Karena AWS Glue terhubung dengan pusat identitas IAM, jika AWS Glue mendeteksi identity-enhanced-role-credentials, secara otomatis akan menyebarkan informasi identitas ke layanan hilir yang disebut sebagai bagian dari pernyataan Anda. Namun, peran runtime untuk sesi harus memiliki sts:SetContext izin seperti yang digambarkan di bawah ini.
Izin Role Runtime untuk menyebarkan identitas
Karena AWS Glue sesi memanfaatkan kredensil yang ditingkatkan Identitas untuk menyebarkan identitas ke AWS layanan hilir, kebijakan kepercayaan peran runtime perlu memiliki izin tambahan untuk memungkinkan penyebaran sts:SetContext identitas ke layanan hilir (hibah akses Amazon S3, Lake Formation, Amazon Redshift). Untuk mempelajari lebih lanjut tentang cara membuat peran runtime, lihat Menyiapkan peran runtime.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "glue.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] }
Selain itu, peran Runtime akan memerlukan izin untuk AWS layanan hilir yang akan dipanggil job-run untuk mengambil data menggunakan identitas pengguna. Silakan lihat tautan berikut untuk mengonfigurasi Hibah Akses Amazon S3 dan Formasi Danau:
