Propagazione affidabile delle identità con ETL AWS Glue - AWS Glue
PanoramicaFunzionalità e vantaggiCasi d'usoCome funzionaIntegrazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Propagazione affidabile delle identità con ETL AWS Glue

Con IAM Identity Center, puoi connetterti ai provider di identità (IdPs) e gestire centralmente l'accesso per utenti e gruppi attraverso AWS i servizi di analisi. Puoi integrare provider di identità come Okta, Ping e Microsoft Entra ID (precedentemente Azure Active Directory) con IAM Identity Center per consentire agli utenti della tua organizzazione di accedere ai dati utilizzando un'esperienza di accesso singolo. IAM Identity Center supporta anche la connessione di altri provider di identità di terze parti.

Con la AWS Glue versione 5.0 e versioni successive, puoi propagare le identità degli utenti da IAM Identity Center a AWS Glue sessioni interattive. AWS Glue Le sessioni interattive propagheranno ulteriormente l'identità fornita a servizi downstream come Amazon S3 Access Grants AWS Lake Formation e Amazon Redshift, consentendo l'accesso sicuro ai dati tramite l'identità utente in questi servizi downstream.

Panoramica

Identity Center è l'approccio consigliato per l'autenticazione e l'autorizzazione della forza lavoro per organizzazioni di qualsiasi dimensione e tipo. AWS Con Identity Center, puoi creare e gestire le identità degli utenti o connettere la tua fonte di identità esistente, tra cui Microsoft Active Directory, Okta, Ping Identity JumpCloud, Google Workspace e Microsoft Entra ID (precedentemente Azure AD). AWS

La propagazione affidabile delle identità è una funzionalità di IAM Identity Center che gli amministratori dei AWS servizi connessi possono utilizzare per concedere e controllare l'accesso ai dati del servizio. L'accesso a questi dati si basa su attributi utente come le associazioni di gruppo. La configurazione di una propagazione affidabile delle identità richiede la collaborazione tra gli amministratori dei AWS servizi connessi e gli amministratori di IAM Identity Center.

Funzionalità e vantaggi

L'integrazione delle sessioni AWS Glue interattive con IAM Identity Center Trusted Identity Propagation offre i seguenti vantaggi:

  • La capacità di applicare l'autorizzazione a livello di tabella e il controllo granulare degli accessi con identità di Identity Center sulle tabelle del catalogo di dati gestite da Lake Formation AWS Glue .

  • La capacità di applicare l'autorizzazione con le identità di Identity Center sui cluster Amazon Redshift.

  • Consente il monitoraggio completo delle azioni degli utenti per il controllo.

  • La capacità di applicare l'autorizzazione a livello di prefisso Amazon S3 con identità Identity Center su prefissi Amazon S3 gestiti da Amazon S3 Access Grants.

Casi d'uso

Esplorazione e analisi interattive dei dati

I data engineer utilizzano le proprie identità aziendali per accedere e analizzare senza problemi i dati su più account. AWS Tramite SageMaker Studio, lanciano sessioni Spark interattive tramite AWS Glue ETL, collegandosi a varie fonti di dati tra cui Amazon S3 e AWS Glue Data Catalog. Mentre gli ingegneri esplorano i set di dati, Spark applica controlli di accesso granulari definiti in Lake Formation in base alle loro identità, assicurando che possano visualizzare solo i dati autorizzati. Tutte le interrogazioni e le trasformazioni dei dati vengono registrate con l'identità dell'utente, creando una pista di controllo chiara. Questo approccio semplificato consente la prototipazione rapida di nuovi prodotti di analisi, mantenendo al contempo una rigorosa governance dei dati in tutti gli ambienti client.

Preparazione dei dati e progettazione delle funzionalità

I data scientist di diversi team di ricerca collaborano su progetti complessi utilizzando una piattaforma di dati unificata. Accedono a SageMaker Studio con le proprie credenziali aziendali, accedendo immediatamente a un vasto data lake condiviso che si estende su più account. AWS Quando iniziano a progettare funzionalità per nuovi modelli di apprendimento automatico, le sessioni Spark lanciate tramite AWS Glue ETL applicano le politiche di sicurezza a livello di colonne e righe di Lake Formation basate sulle loro identità diffuse. Gli scienziati possono preparare in modo efficiente i dati e progettare le funzionalità utilizzando strumenti familiari, mentre i team addetti alla conformità hanno la certezza che ogni interazione con i dati venga tracciata e verificata automaticamente. Questo ambiente sicuro e collaborativo accelera le pipeline di ricerca mantenendo al contempo i rigorosi standard di protezione dei dati richiesti nei settori regolamentati.

Come funziona

Diagramma di architettura che mostra AWS Glue il flusso di lavoro delle sessioni interattive. Un utente accede alle applicazioni rivolte al client (SageMaker Unified Studio o applicazioni personalizzate) tramite IAM Identity Center. L'identità dell'utente viene propagata a AWS Glue Interactive Sessions, che si connette ai servizi di controllo degli accessi tra cui IAM Identity Center AWS Lake Formation, AWS Glue Data Catalog e Amazon S3 Access Grant, prima di accedere finalmente a S3 Storage.

Un utente accede alle applicazioni rivolte ai clienti (SageMaker AI o applicazioni personalizzate) utilizzando la propria identità aziendale tramite IAM Identity Center. Questa identità viene quindi propagata attraverso l'intera pipeline di accesso ai dati.

L'utente autenticato avvia le sessioni AWS AWS Glue interattive, che fungono da motore di calcolo per l'elaborazione dei dati. Queste sessioni mantengono il contesto dell'identità dell'utente durante tutto il flusso di lavoro.

AWS Lake Formation e AWS Glue Data Catalog collaborano per applicare controlli di accesso granulari. Lake Formation applica politiche di sicurezza basate sull'identità propagata dell'utente, mentre Amazon S3 Access Grant fornisce livelli di autorizzazione aggiuntivi, garantendo agli utenti di accedere solo ai dati che sono autorizzati a visualizzare.

Infine, il sistema si connette allo storage Amazon S3 dove risiedono i dati effettivi. Tutti gli accessi sono regolati dalle politiche di sicurezza combinate, che mantengono la governance dei dati e consentono l'esplorazione e l'analisi interattive dei dati. Questa architettura consente un accesso sicuro e basato sull'identità ai dati su più AWS servizi, mantenendo al contempo un'esperienza utente senza interruzioni per i data scientist e gli ingegneri che lavorano con set di dati di grandi dimensioni.

Integrazioni

AWS ambiente di sviluppo gestito

Le seguenti applicazioni AWS gestite rivolte ai client supportano la propagazione affidabile delle identità con AWS Glue sessioni interattive:

Studio unificato Sagemaker

Per utilizzare la propagazione affidabile delle identità con Sagemaker Unified Studio:

  1. Configura il progetto Sagemaker Unified Studio con la propagazione affidabile delle identità abilitata come ambiente di sviluppo rivolto al cliente.

  2. Configura Lake Formation per abilitare il controllo granulare degli accessi per le AWS Glue tabelle in base all'utente o al gruppo in IAM Identity Center.

  3. Configura Amazon S3 Access Grants per consentire l'accesso temporaneo alle posizioni dei dati sottostanti in Amazon S3.

  4. Apri lo spazio JupyterLab IDE di Sagemaker Unified Studio e AWS Glue selezionalo come elaborazione per l'esecuzione su notebook.

Ambiente notebook ospitato autonomamente e gestito dal cliente

Per abilitare la propagazione affidabile delle identità per gli utenti di applicazioni sviluppate su misura, consulta Access AWS services using trusted identity propagation nel Security Blog. AWS