Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sessioni Interattive con IAM
Queste sezioni descrivono le considerazioni sulla sicurezza delle sessioni interattive di AWS Glue.
Argomenti
Principali IAM utilizzati con le sessioni interattive
Con le sessioni interattive AWS Glue vengono utilizzati due principali IAM.
-
Principale client: il principale del client (un utente o un ruolo) autorizza le operazioni dell'API per sessioni interattive da un client AWS Glue configurato con le credenziali basate sull'identità del principale. Ad esempio, potrebbe trattarsi di un ruolo IAM che in genere si utilizza per accedere alla console di AWS Glue. Questo potrebbe anche essere un ruolo assegnato a un utente in IAM le cui credenziali vengono utilizzate per il AWS Command Line Interface, o un AWS Glue client utilizzato dalle sessioni interattive del kernel Jupyter.
-
Ruolo Runtime: il Ruolo runtime è un ruolo IAM che il principale del client passa alle operazioni API delle sessioni interattive. AWS Glue utilizza questo ruolo per eseguire istruzioni nella sessione. Ad esempio, questo ruolo potrebbe essere quello utilizzato per l'esecuzione dei processi ETL di AWS Glue.
Per ulteriori informazioni, consulta Configurazione di un ruolo runtime.
Configurazione di un principale del client
È necessario allegare una policy di identità al principale del client per consentirgli di chiamare l'API delle sessioni interattive. Questo ruolo deve avere l'accesso iam:PassRole al ruolo di esecuzione che si passa per le operazioni API delle sessioni interattive come CreateSession. Ad esempio, puoi collegare la policy AWSGlueConsoleFullAccessgestita a un ruolo IAM che consente agli utenti del tuo account a cui è associata la policy di accedere a tutte le sessioni create nel tuo account (come l'istruzione di runtime o l'istruzione di cancellazione).
Se desideri proteggere la tua sessione e renderla privata solo per determinati ruoli IAM, come quelli associati all'utente che ha creato la sessione, puoi utilizzare il Tag Based Authorization Control di AWS Glue Interactive Session chiamato TagOnCreate. Per ulteriori informazioni, scopri Rendi privata la tua sessione con TagOnCreate come una policy gestita con ambito e basata su tag proprietari può rendere privata la tua sessione con. TagOnCreate Per ulteriori informazioni sulle politiche basate sull'identità, consulta Politiche basate sull'identità per. AWS Glue
Configurazione di un ruolo runtime
È necessario passare un ruolo IAM all'operazione CreateSession API per consentire l'assunzione e l'esecuzione di istruzioni in AWS Glue sessioni interattive. Il ruolo deve disporre delle stesse autorizzazioni IAM necessarie per l'esecuzione dei processi AWS Glue tipici. Ad esempio, puoi creare un ruolo di servizio utilizzando la AWSGlueServiceRolepolitica che consente di AWS Glue chiamare AWS i servizi per tuo conto. Se utilizzi la console AWS Glue, la console creerà automaticamente un ruolo di servizio per tuo conto o ne utilizzerà uno esistente. Puoi anche creare il tuo ruolo IAM personalizzato e allegare la policy IAM per concedere autorizzazioni simili.
Se desideri proteggere la tua sessione e renderla privata solo per l'utente che ha creato la sessione, puoi utilizzare il controllo di autorizzazione basato su tag di AWS Glue Interactive Session chiamato TagOnCreate. Per ulteriori informazioni, scopri Rendi privata la tua sessione con TagOnCreate in che modo una politica gestita basata su tag proprietari e basata su tag del proprietario può rendere privata la tua sessione con. TagOnCreate Per ulteriori informazioni sulle policy basate sull'identità, consulta la pagina Politiche basate sull'identità per Glue AWS. Se stai creando il ruolo di esecuzione da solo dalla console IAM e desideri rendere privato il tuo servizio con TagOnCreate funzionalità, segui i passaggi seguenti.
-
Creare un ruolo IAM con il tipo di ruolo impostato su
Glue. -
Allega questa policy AWS Glue gestita: AwsGlueSessionUserRestrictedServiceRole
-
Prefissa il nome del ruolo con il nome della politica. AwsGlueSessionUserRestrictedServiceRole Ad esempio, puoi creare un ruolo con name AwsGlueSessionUserRestrictedServiceRole-myrole e allegare AWS Glue una policy gestita. AwsGlueSessionUserRestrictedServiceRole
-
Allegare una policy di attendibilità come di seguito per consentire a AWS Glue di assumere il ruolo:
Per le sessioni interattive del kernel Jupyter, puoi specificare la chiave nel tuo profilo. iam_role AWS Command Line Interface Per ulteriori informazioni, consulta Configurazione di sessioni con ~/.aws/config . Se stai interagendo con sessioni interattive usando un notebook AWS Glue, puoi passare il ruolo di esecuzione in %iam_role magic nella prima cella che esegui.
Rendi privata la tua sessione con TagOnCreate
Le sessioni interattive di AWS Glue supportano il tagging e l'autorizzazione basata sui tag (TBAC) per le sessioni interattive come risorsa denominata. Oltre all'utilizzo di TagResource and da parte di TBAC UntagResource APIs, le sessioni AWS Glue interattive supportano la TagOnCreate funzionalità di «taggare» una sessione con un determinato tag solo durante la creazione della sessione con CreateSession operazione. Ciò significa anche che quei tag verranno rimossi il DeleteSession, alias. UntagOnDelete
TagOnCreate offre un potente meccanismo di sicurezza per rendere la sessione privata al creatore della sessione. Ad esempio, puoi allegare una policy IAM con «owner» RequestTag e valore $ {aws:userId} a un client principal (come un utente) per consentire la creazione di una sessione solo se su richiesta viene fornito un tag «owner» con il valore corrispondente dell'userID del chiamante. CreateSession Questa policy consente alle sessioni interattive di AWS Glue di creare una risorsa di sessione e taggare la sessione con il tag userId solo durante il tempo di creazione della sessione. Inoltre, puoi limitare l'accesso (ad esempio le istruzioni in esecuzione) alla tua sessione solo al creatore (alias tag owner con valore $ {aws:userId}) della sessione allegando una policy IAM con «owner» ResourceTag al ruolo di esecuzione che hai passato durante CreateSession.
Per semplificare l'utilizzo della TagOnCreate funzionalità che rende privata una sessione per il creatore della sessione, AWS Glue fornisce politiche gestite e ruoli di servizio specializzati.
Se desideri creare una sessione AWS Glue interattiva utilizzando un AssumeRole principale IAM (ovvero utilizzando credenziali fornite assumendo un ruolo IAM) e desideri rendere la sessione privata per il creatore, utilizza politiche simili rispettivamente a e. AWSGlueSessionUserRestrictedNotebookPolicyAWSGlueSessionUserRestrictedNotebookServiceRole Queste politiche consentono di AWS Glue utilizzare $ {aws:PrincipalTag} per estrarre il valore del tag owner. Ciò richiede il passaggio di un tag userID con valore $ {aws:userId} come nella credenziale di assunzione del ruolo. SessionTag Consulta Tag della sessione ID. Se utilizzi un' EC2 istanza Amazon con un profilo di istanza che vende la credenziale e desideri creare una sessione o interagire con la sessione dall'interno dell' EC2 istanza Amazon, dovrai passare un tag userID con valore $ {aws:userId} come nella credenziale di assunzione del ruolo. SessionTag
Ad esempio, se stai creando una sessione utilizzando una credenziale AssumeRole principale IAM e desideri rendere privato il tuo servizio con funzionalità, segui i passaggi seguenti. TagOnCreate
-
Crea tu stesso un ruolo runtime dalla console IAM. Allega questa policy AWS Glue gestita AwsGlueSessionUserRestrictedNotebookServiceRolee aggiungi il prefisso al nome del ruolo con il nome della policy. AwsGlueSessionUserRestrictedNotebookServiceRole Ad esempio, puoi creare un ruolo con nome AwsGlueSessionUserRestrictedNotebookServiceRole-myrole e allegare AWS Glue una policy gestita. AwsGlueSessionUserRestrictedNotebookServiceRole
-
Allega una policy di attendibilità come di seguito per consentire ad AWS Glue di assumere il ruolo:
-
Crea un altro ruolo denominato con un prefisso AwsGlueSessionUserRestrictedNotebookPolicye allega la policy AWS Glue gestita AwsGlueSessionUserRestrictedNotebookPolicyper rendere privata la sessione. Oltre alla policy gestita, allega la seguente policy in linea per consentire iam: PassRole al ruolo che hai creato nel passaggio 1.
-
Allega una policy di attendibilità come di seguito al AWS Glue IAM riportato qui sopra per consentirgli di assumere il ruolo.
Nota
Facoltativamente, puoi utilizzare un singolo ruolo (ad esempio, il ruolo notebook) e allegare entrambe le politiche AwsGlueSessionUserRestrictedNotebookServiceRolegestite sopra riportate e. AwsGlueSessionUserRestrictedNotebookPolicy Allega anche la policy inline aggiuntiva per consentire
iam:passroledel tuo ruolo di AWS Glue. E infine allega la policy di fiducia di cui sopra per consentirests:AssumeRoleests:TagSession.
AWSGlueSessionUserRestrictedNotebookPolicy
AWSGlueSessionUserRestrictedNotebookPolicy Fornisce l'accesso per creare una sessione AWS Glue interattiva da un notebook solo se il tag chiave «proprietario» e il valore corrispondono AWS all'ID utente del principale (utente o ruolo). Per ulteriori informazioni, consulta Casi in cui è possibile utilizzare le variabili di policy. Questa policy è collegata al principale (utente o ruolo IAM) che crea notebook di sessioni interattive AWS Glue da AWS Glue Studio. Questa politica consente inoltre un accesso sufficiente al AWS Glue Studio notebook per interagire con le risorse della sessione AWS Glue Studio interattiva create con il valore del tag «owner» che corrisponde all'ID AWS utente del principale. Questa policy nega l'autorizzazione di modificare o rimuovere i tag "proprietario" da una risorsa di sessione AWS Glue dopo la creazione della sessione.
AWSGlueSessionUserRestrictedNotebookServiceRole
AWSGlueSessionUserRestrictedNotebookServiceRoleFornisce un accesso sufficiente al AWS Glue Studio notebook per interagire con le risorse della sessione AWS Glue interattiva create con il valore del tag «owner» che corrisponde all'ID AWS utente del principale (utente o ruolo) del creatore del notebook. Per ulteriori informazioni, consulta Casi in cui è possibile utilizzare le variabili di policy. Questa policy relativa ai ruoli di servizio è allegata al ruolo che viene passato per magia a un notebook o passato come ruolo di esecuzione all' CreateSession API. Questa politica consente inoltre di creare una sessione AWS Glue interattiva da un notebook solo se il tag chiave «proprietario» e il valore corrispondono AWS all'ID utente del principale. Questa policy nega l'autorizzazione di modificare o rimuovere i tag "proprietario" da una risorsa di sessione AWS Glue dopo la creazione della sessione. Questa politica include anche le autorizzazioni per la scrittura e la lettura da bucket Amazon S3, la CloudWatch scrittura di log, la creazione e l'eliminazione di tag per le risorse Amazon utilizzate da. EC2 AWS Glue
Rendere private le sessioni con gli utenti
Puoi associare i AWSGlueSessionUserRestrictedPolicydue ruoli IAM associati a ciascuno degli utenti del tuo account per impedire loro di creare una sessione solo con un tag proprietario con un valore corrispondente al proprio $ {aws:userId}. Invece di utilizzare AWSGlueSessionUserRestrictedNotebookPolicye, è AWSGlueSessionUserRestrictedNotebookServiceRolenecessario utilizzare politiche simili a e rispettivamente. AWSGlueSessionUserRestrictedPolicyAWSGlueSessionUserRestrictedServiceRole Per ulteriori informazioni, consulta la pagina Using identity based policies. Questa policy limita l'accesso a una sessione solo al creatore, il valore ${aws:userID} dell'utente che ha creato la sessione con tag proprietario svelando il proprio ${aws:userID}. Se hai creato tu stesso il ruolo di esecuzione utilizzando la console IAM seguendo i passaggi indicatiConfigurazione di un ruolo runtime, oltre ad allegare la policy AwsGlueSessionUserRestrictedPolicygestita, collega anche la seguente policy in linea a ciascuno degli utenti del tuo account iam:PassRole per consentire il ruolo di esecuzione che hai creato in precedenza.
AWSGlueSessionUserRestrictedPolicy
AWSGlueSessionUserRestrictedPolicyFornisce l'accesso alla creazione di una sessione AWS Glue interattiva utilizzando l' CreateSession API solo se vengono forniti una chiave di tag «proprietario» e un valore corrispondenti al AWS relativo ID utente. Questa politica di identità è allegata all'utente che richiama l' CreateSession API. Questa politica consente inoltre di interagire con le risorse della sessione AWS Glue interattiva che sono state create con un tag «proprietario» e un valore corrispondenti AWS all'ID utente. Questa policy nega l'autorizzazione di modificare o rimuovere i tag "proprietario" da una risorsa di sessione AWS Glue dopo la creazione della sessione.
AWSGlueSessionUserRestrictedServiceRole
AWSGlueSessionUserRestrictedServiceRoleFornisce l'accesso completo a tutte AWS Glue le risorse ad eccezione delle sessioni e consente agli utenti di creare e utilizzare solo le sessioni interattive associate all'utente. Questa politica include anche altre autorizzazioni necessarie AWS Glue per gestire le risorse Glue in altri AWS servizi. La politica consente inoltre di aggiungere tag alle AWS Glue risorse di altri AWS servizi.
Considerazioni sulle policy IAM
Le sessioni interattive sono risorse IAM in AWS Glue. Poiché si tratta di risorse IAM, l'accesso e l'interazione a una sessione sono regolati dalle policy IAM. In base alle policy IAM allegate a un principale del client o al ruolo di esecuzione configurato da un amministratore, un principale del client (utente o ruolo) sarà in grado di creare nuove sessioni e interagire con le proprie e con altre.
Se un amministratore ha allegato una policy IAM come AWSGlue ConsoleFullAccess o AWSGlue ServiceRole che consente l'accesso a tutte le AWS Glue risorse di quell'account, il responsabile del cliente sarà in grado di collaborare tra loro. Ad esempio, un utente sarà in grado di interagire con le sessioni create da altri utenti se le policy lo consentono.
Per configurare una policy su misura per le tue esigenze specifiche, consulta la documentazione IAM sulla configurazione delle risorse per una policy. Ad esempio, per isolare le sessioni che appartengono a un utente, puoi utilizzare la TagOnCreate funzionalità supportata dalle sessioni AWS Glue interattive. Consultare Rendi privata la tua sessione con TagOnCreate .
Le sessioni interattive supportano la limitazione della creazione di sessioni in base a determinate condizioni del VPC. Consultare Policy di controllo che controllano le impostazioni utilizzando le chiavi di condizione.
