Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Guida introduttiva alla propagazione affidabile delle identità in ETL AWS Glue
Questa sezione aiuta a configurare AWS Glue l'applicazione con sessioni interattive per l'integrazione con IAM Identity Center e abilitare la propagazione delle identità affidabili.
Prerequisiti
Un'istanza di Identity Center nella AWS regione in cui si desidera creare sessioni AWS Glue interattive abilitate alla propagazione dell'identità affidabile. Un'istanza di Identity Center può esistere solo in una singola regione per un AWS account. Per ulteriori informazioni, consulta Abilita IAM Identity Center e fornisci utenti e gruppi dalla tua fonte di identità a IAM Identity Center.
-
Abilita la propagazione dell'identità affidabile per servizi downstream come Lake Formation o Amazon S3 Access Grants o il cluster Amazon Redshift con cui il carico di lavoro interattivo interagisce per accedere ai dati.
Autorizzazioni necessarie per connettere ETL con IAM Identity Center AWS Glue
Creazione di un ruolo IAM
Il ruolo che crea la connessione a IAM Identity Center richiede le autorizzazioni per creare e modificare la configurazione dell'applicazione in AWS Glue IAM Identity Center, come indicato nella seguente policy in linea.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateGlueIdentityCenterConfiguration", "sso:CreateApplication", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope", "sso:ListInstances" ], "Resource": [ "*" ] } ] }
Le seguenti politiche in linea contengono autorizzazioni specifiche necessarie per visualizzare, aggiornare ed eliminare le proprietà di AWS Glue integrazione con IAM Identity Center.
Utilizza la seguente policy in linea per consentire a un ruolo IAM di visualizzare un' AWS Glue integrazione con IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetGlueIdentityCenterConfiguration" ], "Resource": [ "*" ] } ] }
Utilizza la seguente policy in linea per consentire a un ruolo IAM di aggiornare AWS Glue l'integrazione con IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:UpdateGlueIdentityCenterConfiguration", "sso:PutApplicationAccessScope", "sso:DeleteApplicationAccessScope" ], "Resource": [ "*" ] } ] }
Utilizza la seguente policy in linea per consentire a un ruolo IAM di eliminare un' AWS Glue integrazione con IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:DeleteGlueIdentityCenterConfiguration", "sso:DeleteApplication" ], "Resource": [ "*" ] } ] }
Descrizione delle autorizzazioni
glue:CreateGlueIdentityCenterConfiguration— Concede l'autorizzazione a creare la configurazione AWS Glue IdC.glue:GetGlueIdentityCenterConfiguration— Concede il permesso di ottenere una configurazione iDC esistente.glue:DeleteGlueIdentityCenterConfiguration— Concede il permesso di eliminare una configurazione IdC esistente AWS Glue .glue:UpdateGlueIdentityCenterConfiguration— Concede il permesso di aggiornare una configurazione IdC esistente AWS Glue .sso:CreateApplication— Concede l'autorizzazione a creare un'applicazione IAM Identity AWS Glue Center gestita.sso:DescribeApplication- Concede l'autorizzazione a descrivere un'applicazione IAM Identity Center AWS Glue gestita.sso:DeleteApplication— Concede l'autorizzazione a eliminare un'applicazione IAM Identity Center AWS Glue gestita.sso:UpdateApplication— Concede l'autorizzazione ad aggiornare un'applicazione IAM Identity Center AWS Glue gestita.sso:PutApplicationGrant— Concede l'autorizzazione ad applicare token-exchange, IntrospectToken, RefreshToken e concessioni sull'applicazione iDC. RevokeTokensso:PutApplicationAuthenticationMethod— Concede l'autorizzazione a inserire AuthenticationMethod sull'applicazione iDC AWS Glue gestita che consente al responsabile del servizio di interagire con l'applicazione iDC. AWS Gluesso:PutApplicationAccessScope— Concede l'autorizzazione ad aggiungere o aggiornare l'elenco degli ambiti di servizio downstream autorizzati sull'applicazione iDC gestita. AWS Gluesso:DeleteApplicationAccessScope- Concede l'autorizzazione a eliminare gli ambiti a valle se viene rimosso un ambito per l'applicazione iDC gestita. AWS Gluesso:PutApplicationAssignmentConfiguration— Concede l'autorizzazione a impostare l'impostazione «User-assignment-not-required» sull'applicazione iDC.sso:ListInstances— Concede il permesso di elencare le istanze e convalidare l'iDC InstanceArn specificato nel parametro. identity-center-configuration
Connessione con AWS Glue IAM Identity Center
Quando AWS Glue è connesso a IAM Identity Center, crea un'applicazione iDC gestita singleton per account. L'esempio seguente mostra come è possibile connettersi a IAM Identity AWS Glue Center:
aws glue create-glue-identity-center-configuration \ --instance-arn arn:aws:sso:::instance/ssoins-123456789 \ --scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
Per aggiornare gli ambiti dell'applicazione gestita (in genere eseguita per propagarsi a più servizi downstream), puoi utilizzare:
aws glue update-glue-identity-center-configuration \ --scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
Il parametro Scopes è facoltativo e tutti gli ambiti verranno aggiunti se non vengono forniti. I valori supportati sonos3:access_grants:read_write, eredshift:connect. lakeformation:query
Per ottenere i dettagli della configurazione, puoi usare:
aws glue get-glue-identity-center-configuration
Puoi eliminare la connessione tra AWS Glue e IAM Identity Center utilizzando il seguente comando:
aws glue delete-glue-identity-center-configuration
Nota
AWS Glue crea un'applicazione Identity Center gestita dal servizio nel tuo account che il servizio sfrutta per la convalida dell'identità e la propagazione dell'identità ai servizi downstream. AWS Glue l'applicazione Identity Center gestita creata viene condivisa tra tutte le trusted-identity-propagation sessioni dell'account.
Avviso: non modificare manualmente le impostazioni sull'applicazione Identity Center gestita. Qualsiasi modifica potrebbe influire su tutte le sessioni AWS Glue interattive trusted-identity-propagation abilitate nel tuo account.
Creazione di una sessione AWS Glue interattiva con Trusted Identity Propagation abilitata
Dopo esserti connesso a IAM Identity Center, puoi utilizzare le credenziali di ruolo AWS Glue con identità avanzata per creare una sessione interattiva. AWS Glue Non è necessario passare parametri aggiuntivi durante la creazione di una sessione 5.0. AWS Glue Poiché AWS Glue è connesso a IAM Identity Center, se lo AWS Glue rileva identity-enhanced-role-credentials, propagherà automaticamente le informazioni sull'identità ai servizi a valle che vengono richiamati come parte delle tue istruzioni. Tuttavia, il ruolo di runtime per la sessione deve disporre dell'sts:SetContextautorizzazione, come illustrato di seguito.
Autorizzazioni Runtime Role per propagare l'identità
Poiché AWS Glue le sessioni sfruttano le credenziali potenziate dall'identità per propagare l'identità ai AWS servizi downstream, la policy di fiducia del ruolo di runtime deve disporre di autorizzazioni sts:SetContext aggiuntive per consentire la propagazione dell'identità ai servizi downstream (Amazon S3 access-grant, Lake Formation, Amazon Redshift). Per ulteriori informazioni su come creare un ruolo di runtime, consulta Configurazione di un ruolo di runtime.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "glue.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] }
Inoltre, il ruolo Runtime richiederebbe le autorizzazioni per i AWS servizi downstream che job-run richiamerebbe per recuperare i dati utilizzando l'identità dell'utente. Fai riferimento ai seguenti link per configurare Amazon S3 Access Grants e Lake Formation:
