AWS Glue ETL の信頼できる ID の伝播の統合に関する考慮事項と制限事項

重要

デフォルトでは、セッションはプライベートではないため、ある IdC ユーザーが別の IdC ユーザーのセッションにアクセスできます。tagOnCreate を使用してセッションをプライベートにすることができます。例えば、セッションに所有者タグとその値を IDC ユーザー ID としてタグ付けし、ポリシーで identitystore:UserId などのグローバル条件キーを使用して、すべてのセッション API オペレーションのクライアントプリンシパル/ランタイムロールポリシーの所有者タグと照合し、ある IdC ユーザーが別の IdC ユーザーのセッションにアクセスできないようにすることができます。

AWS Glue アプリケーションで IAM アイデンティセンターの信頼できる ID 伝播を使用する際は、以下の点を考慮してください。

アイデンティセンターが提供する信頼できる ID 伝播は、AWS Glue 5.0 以降でサポートされており、AWS Glue インタラクティブセッションでのみ動作します。
AWS Glue データカタログは、Lake Formation のアイデンティセンター統合でカバーされています。
信頼できる ID 伝播は、AWS Glue のインタラクティブセッションに限定されます。ただし、ジョブ、トリガー、ワークフロー、ML タスクなどの他のデータ処理エンティティは除きます。ただし、すべての AWS Glue API では、監査のためにユーザー ID を AWS CloudTrail に記録します。
AWS Glue は現在、コンソールではなく API および CLI インターフェイスを介してのみ、IAM アイデンティセンターとの統合をサポートしています。
AWS Glue 側でアプリケーションを有効にしたら、IdC 認証情報で 5.0 セッションを作成してください。ただし、IdC 認証情報で 4.0 セッションを作成しないでください。
AWS Glue による信頼できる ID 伝播は、以下の AWS リージョンでサポートされています。
- af-south-1 – アフリカ (ケープタウン)
- ap-east-1 – アジアパシフィック (香港)
- ap-northeast-1 – アジアパシフィック (東京)
- ap-northeast-2 – アジアパシフィック (ソウル)
- ap-northeast-3 – アジアパシフィック (大阪)
- ap-south-1 – アジアパシフィック (ムンバイ)
- ap-southeast-1 – アジアパシフィック (シンガポール)
- ap-southeast-2 – アジアパシフィック (シドニー)
- ap-southeast-3 – アジアパシフィック (ジャカルタ)
- ca-central-1 – カナダ (中部)
- eu-central-1 – 欧州 (フランクフルト)
- eu-north-1 – 欧州 (ストックホルム)
- eu-south-1 – 欧州 (ミラノ)
- eu-west-1 – 欧州 (アイルランド)
- eu-west-2 – 欧州 (ロンドン)
- eu-west-3 – 欧州 (パリ)
- me-south-1 – 中東 (バーレーン)
- sa-east-1 – 南米 (サンパウロ)
- us-east-1 – 米国東部 (バージニア北部)
- us-east-2 – 米国東部 (オハイオ)
- us-west-1 – 米国西部 (北カリフォルニア)
- us-west-2 – 米国西部 (オレゴン)

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Glue ETL での信頼できる ID 伝播の開始方法

ログ記録とモニタリング