APIs de segurança no AWS Glue

A API de segurança descreve os tipos de dados de segurança e a API relacionada à segurança no AWS Glue.

Tipos de dados

• Estrutura DataCatalogEncryptionSettings

• Estrutura EncryptionAtRest

• Estrutura ConnectionPasswordEncryption

• Estrutura EncryptionConfiguration

• Estrutura S3Encryption

• Estrutura CloudWatchEncryption

• Estrutura JobBookmarksEncryption

• Estrutura SecurityConfiguration

• Estrutura GluePolicy

Estrutura DataCatalogEncryptionSettings

Contém informações de configuração para manter a segurança do Catálogo de dados.

Campos

• EncryptionAtRest – Um objeto EncryptionAtRest.

  Especifica a configuração de criptografia em repouso para o Catálogo de dados.

• ConnectionPasswordEncryption – Um objeto ConnectionPasswordEncryption.

  Quando a proteção por senha de conexão é habilitada, o Catálogo de dados usa uma chave fornecida pelo cliente para criptografar a senha como parte do CreateConnection ou UpdateConnection armazená-la no ENCRYPTED_PASSWORD campo nas propriedades da conexão. Você pode habilitar a criptografia de catálogo ou apenas a criptografia de senha.

Estrutura EncryptionAtRest

Especifica a configuração de criptografia em repouso para o Catálogo de dados.

Campos

• CatalogEncryptionMode – Obrigatório: string UTF-8 (valores válidos: DISABLED | SSE-KMS="SSEKMS" | SSE-KMS-WITH-SERVICE-ROLE="SSEKMSWITHSERVICEROLE").

  O modo de criptografia em repouso para a configuração de dados do Catálogo de dados.

• SseAwsKmsKeyId – String UTF-8, superior a 1 e inferior a 255 bytes de comprimento, correspondente a Single-line string pattern.

  O ID da chave do AWS KMS a ser usada para a criptografia em repouso.

• CatalogEncryptionServiceRole – String UTF-8 correspondente a Custom string pattern #19.

  O perfil assumido pelo AWS Glue para criptografar e descriptografar os objetos do Catálogo de Dados em nome do chamador.

Estrutura ConnectionPasswordEncryption

A estrutura de dados usada pelo Catálogo de dados para criptografar a senha como parte do CreateConnection ou UpdateConnection e armazená-la no ENCRYPTED_PASSWORD campo nas propriedades da conexão. Você pode habilitar a criptografia de catálogo ou apenas a criptografia de senha.

Quando uma solicitação CreationConnection chega contendo uma senha, o Data Catalog primeiro criptografa a senha usando a sua chave do AWS KMS. Em seguida, criptografa todo o objeto de conexão novamente se a criptografia do catálogo também estiver habilitada.

Essa criptografia requer que as permissões de chave do AWS KMS sejam definidas para habilitar ou restringir o acesso à chave da senha de acordo com os seus requisitos de segurança. Por exemplo, você pode querer que apenas administradores tenham permissão para descriptografar a chave da senha.

Campos

• ReturnConnectionPasswordEncrypted: obrigatório: booleano.

  Quando o ReturnConnectionPasswordEncrypted sinalizador estiver definido como "verdadeiro", as senhas permanecem criptografadas nas respostas de GetConnection e GetConnections. Esta criptografia entra em vigor independentemente da criptografia de catálogo.

• AwsKmsKeyId – String UTF-8, superior a 1 e inferior a 255 bytes de comprimento, correspondente a Single-line string pattern.

  Uma chave do AWS KMS usada para criptografar a senha de conexão.

  Se a proteção por senha da conexão estiver habilitada, o autor da chamada de CreateConnection e UpdateConnection precisará, pelo menos, da permissão kms:Encrypt na chave do AWS KMS especificada para criptografar as senhas antes de armazená-las no Data Catalog.

  Você pode definir a permissão de descriptografia para habilitar ou restringir o acesso à chave de senha, de acordo com os seus requisitos de segurança.

Estrutura EncryptionConfiguration

Especifica uma configuração de criptografia.

Campos

• S3Encryption – Uma matriz de objetos S3Encryption.

  A configuração da criptografia para os dados do Amazon Simple Storage Service (Amazon S3).

• CloudWatchEncryption – Um objeto CloudWatchEncryption.

  A configuração da criptografia para o Amazon CloudWatch.

• JobBookmarksEncryption – Um objeto JobBookmarksEncryption.

  A configuração da criptografia para marcadores de trabalho.

Estrutura S3Encryption

Especifica como os dados do Amazon Simple Storage Service (Amazon S3) devem ser criptografados.

Campos

• S3EncryptionMode – String UTF-8 (valores válidos: DISABLED | SSE-KMS="SSEKMS" | SSE-S3="SSES3").

  O modo de criptografia a ser usado para dados do Amazon S3.

• KmsKeyArn – String UTF-8 correspondente a Custom string pattern #20.

  O nome de recurso da Amazon (ARN) da chave do KMS a ser usada para criptografar os dados.

Estrutura CloudWatchEncryption

Especifica como os dados do Amazon CloudWatch devem ser criptografados.

Campos

• CloudWatchEncryptionMode: string UTF-8 (valores válidos: DISABLED | SSE-KMS="SSEKMS").

  O modo de criptografia a ser usado para dados do CloudWatch.

• KmsKeyArn – String UTF-8 correspondente a Custom string pattern #20.

  O nome de recurso da Amazon (ARN) da chave do KMS a ser usada para criptografar os dados.

Estrutura JobBookmarksEncryption

Especifica como os dados de marcadores de trabalho devem ser criptografados.

Campos

• JobBookmarksEncryptionMode: string UTF-8 (valores válidos: DISABLED | CSE-KMS="CSEKMS").

  O modo de criptografia a ser usado para dados de marcadores de trabalho.

• KmsKeyArn – String UTF-8 correspondente a Custom string pattern #20.

  O nome de recurso da Amazon (ARN) da chave do KMS a ser usada para criptografar os dados.

Estrutura SecurityConfiguration

Especifica uma configuração de segurança.

Campos

• Name – String UTF-8, superior a 1 e inferior a 255 bytes de comprimento, correspondente a Single-line string pattern.

  O nome da configuração de segurança.

• CreatedTimeStamp – Timestamp.

  O momento em que esta configuração de segurança foi criada.

• EncryptionConfiguration – Um objeto EncryptionConfiguration.

  A configuração de criptografia associada a essa configuração de segurança.

Estrutura GluePolicy

Uma estrutura para retornar uma política de recursos.

Campos

• PolicyInJson – String UTF-8, com pelo menos 2 bytes de comprimento.

  Contém o documento da política solicitada no formato JSON.

• PolicyHash – String UTF-8, superior a 1 e inferior a 255 bytes de comprimento, correspondente a Single-line string pattern.

  Contém o valor de hash associado a essa política.

• CreateTime – Timestamp.

  A data e hora em que a política foi criada.

• UpdateTime – Timestamp.

  A data e hora em que a política foi atualizada pela última vez.

Operações

• Ação GetDataCatalogEncryptionSettings (Python: get_data_catalog_encryption_settings)

• Ação PutDataCatalogEncryptionSettings (Python: put_data_catalog_encryption_settings)

• Ação PutResourcePolicy (Python: put_resource_policy)

• Ação GetResourcePolicy (Python: get_resource_policy)

• Ação DeleteResourcePolicy (Python: delete_resource_policy)

• Ação CreateSecurityConfiguration (Python: create_security_configuration)

• Ação DeleteSecurityConfiguration (Python: delete_security_configuration)

• Ação GetSecurityConfiguration (Python: get_security_configuration)

• Ação GetSecurityConfigurations (Python: get_security_configurations)

• Ação GetResourcePolicies (Python: get_resource_policies)

Ação GetDataCatalogEncryptionSettings (Python: get_data_catalog_encryption_settings)

Recupera a configuração de segurança de um determinado catálogo.

Solicitação

• CatalogId – String de ID de catálogo, superior a 1 e inferior a 255 bytes de comprimento, correspondente a Single-line string pattern.

  O ID do Catálogo de dados para o qual recuperar a configuração de segurança. Se nenhum for fornecido, o ID da conta da AWS será usado por padrão.

Resposta

• DataCatalogEncryptionSettings – Um objeto DataCatalogEncryptionSettings.

  A configuração de segurança solicitada.

Erros

• InternalServiceException

• InvalidInputException

• OperationTimeoutException

Ação PutDataCatalogEncryptionSettings (Python: put_data_catalog_encryption_settings)

Define a configuração de segurança de um determinado catálogo. Depois que a configuração tiver sido definida, a criptografia especificada será aplicada a cada gravação de catálogo a partir de então.

Solicitação

• CatalogId – String de ID de catálogo, superior a 1 e inferior a 255 bytes de comprimento, correspondente a Single-line string pattern.

  O ID do Catálogo de dados para o qual definir a configuração de segurança. Se nenhum for fornecido, o ID da conta da AWS será usado por padrão.

• DataCatalogEncryptionSettings – Obrigatório: um objeto DataCatalogEncryptionSettings.

  A configuração de segurança a ser definida.

Resposta

• Nenhum parâmetro de resposta.

Erros

• InternalServiceException

• InvalidInputException

• OperationTimeoutException

Ação PutResourcePolicy (Python: put_resource_policy)

Define a política de recurso de catálogo de dados para controle de acesso.

Solicitação

• PolicyInJson – Obrigatório: String UTF-8, com pelo menos 2 bytes de comprimento.

  Contém o documento de política a ser definido, no formato JSON.

• ResourceArn: string UTF-8, não menos do que 1 ou superior a 10.240 bytes de comprimento, correspondente a Custom string pattern #17.

  Não use. Apenas para uso interno.

• PolicyHashCondition – String UTF-8, superior a 1 e inferior a 255 bytes de comprimento, correspondente a Single-line string pattern.

  O valor de hash retornado quando a política anterior foi definida usando PutResourcePolicy. O objetivo é impedir modificações simultâneas de uma política. Não use esse parâmetro se nenhuma política anterior tiver sido definida.

• PolicyExistsCondition – String UTF-8 (valores válidos: MUST_EXIST | NOT_EXIST | NONE).

  Um valor de MUST_EXIST é usado para atualizar uma política. Um valor de NOT_EXIST é usado para criar uma nova política. Se um valor de NONE ou um valor nulo for usado, a chamada não dependerá da existência de uma política.

• EnableHybrid: string UTF-8 (valores válidos: TRUE | FALSE).

  Se for 'TRUE', indica que você está usando os dois métodos para conceder acesso entre contas aos recursos do Data Catalog:

  • Atualizando diretamente a política de recursos com PutResourePolicy

  • Usando a opção Grant permissions (Conceder permissões) no AWS Management Console.

  Deve ser definida como 'TRUE' se você já tiver usado o Console de Gerenciamento para conceder acesso entre contas, caso contrário, a chamada falhará. O padrão é “FALSE” (FALSO).

Resposta

• PolicyHash – String UTF-8, superior a 1 e inferior a 255 bytes de comprimento, correspondente a Single-line string pattern.

  Um hash da política que acabou de ser definida. Isso deve ser incluído em uma chamada subsequente que substitui ou atualiza essa política.

Erros

• EntityNotFoundException

• InternalServiceException

• OperationTimeoutException

• InvalidInputException

• ConditionCheckFailureException

Ação GetResourcePolicy (Python: get_resource_policy)

Recupera uma política de recurso especificada.

Solicitação

• ResourceArn: string UTF-8, não menos do que 1 ou superior a 10.240 bytes de comprimento, correspondente a Custom string pattern #17.

  O ARN do recurso do AWS Glue para o qual se deseja recuperar a política de recurso. Se não for fornecido, a política de recurso do Data Catalog será retornada. Use GetResourcePolicies para exibir todas as políticas de recursos existentes. Para obter mais informações, consulte Especificar ARNs de recurso do AWS Glue.

Resposta

• PolicyInJson – String UTF-8, com pelo menos 2 bytes de comprimento.

  Contém o documento da política solicitada no formato JSON.

• PolicyHash – String UTF-8, superior a 1 e inferior a 255 bytes de comprimento, correspondente a Single-line string pattern.

  Contém o valor de hash associado a essa política.

• CreateTime – Timestamp.

  A data e hora em que a política foi criada.

• UpdateTime – Timestamp.

  A data e hora em que a política foi atualizada pela última vez.

Erros

• EntityNotFoundException

• InternalServiceException

• OperationTimeoutException

• InvalidInputException

Ação DeleteResourcePolicy (Python: delete_resource_policy)

Exclui uma política especificada.

Solicitação

• PolicyHashCondition – String UTF-8, superior a 1 e inferior a 255 bytes de comprimento, correspondente a Single-line string pattern.

  O valor de hash retornado quando essa política foi definida.

• ResourceArn: string UTF-8, não menos do que 1 ou superior a 10.240 bytes de comprimento, correspondente a Custom string pattern #17.

  O ARN do recurso do AWS Glue para a política de recursos a ser excluída.

Resposta

• Nenhum parâmetro de resposta.

Erros

• EntityNotFoundException

• InternalServiceException

• OperationTimeoutException

• InvalidInputException

• ConditionCheckFailureException

Ação CreateSecurityConfiguration (Python: create_security_configuration)

Cria uma nova configuração de segurança; Uma configuração de segurança é um conjunto de propriedades de segurança que pode ser usado pelo AWS Glue. Você pode usar uma configuração de segurança para criptografar dados em repouso. Para obter informações sobre como usar as configurações de segurança no AWS Glue, consulte Criptografar dados gravados por crawlers, trabalhos e endpoints de desenvolvimento.

Solicitação

• Name – Obrigatório: string UTF-8, no mínimo 1 ou mais de 255 bytes de comprimento, correspondente a Single-line string pattern.

  O nome da nova configuração de segurança.

• EncryptionConfiguration – Obrigatório: um objeto EncryptionConfiguration.

  A configuração de criptografia da nova configuração de segurança.

Resposta

• Name – String UTF-8, superior a 1 e inferior a 255 bytes de comprimento, correspondente a Single-line string pattern.

  O nome atribuído à nova configuração de segurança.

• CreatedTimestamp – Timestamp.

  O momento em que a nova configuração de segurança foi criada.

Erros

• AlreadyExistsException

• InvalidInputException

• InternalServiceException

• OperationTimeoutException

• ResourceNumberLimitExceededException

Ação DeleteSecurityConfiguration (Python: delete_security_configuration)

Exclui uma configuração de segurança especificada.

Solicitação

• Name – Obrigatório: string UTF-8, no mínimo 1 ou mais de 255 bytes de comprimento, correspondente a Single-line string pattern.

  O nome da configuração de segurança a ser excluída.

Resposta

• Nenhum parâmetro de resposta.

Erros

• EntityNotFoundException

• InvalidInputException

• InternalServiceException

• OperationTimeoutException

Ação GetSecurityConfiguration (Python: get_security_configuration)

Recupera uma configuração de segurança especificada.

Solicitação

• Name – Obrigatório: string UTF-8, no mínimo 1 ou mais de 255 bytes de comprimento, correspondente a Single-line string pattern.

  O nome da configuração de segurança a ser recuperada.

Resposta

• SecurityConfiguration – Um objeto SecurityConfiguration.

  A configuração de segurança solicitada.

Erros

• EntityNotFoundException

• InvalidInputException

• InternalServiceException

• OperationTimeoutException

Ação GetSecurityConfigurations (Python: get_security_configurations)

Recupera uma lista de todas as configurações de segurança.

Solicitação

• MaxResults – Número (inteiro), superior a 1 ou mais que 1000.

  O número máximo de resultados a serem retornados.

• NextToken – String UTF-8.

  Um token de continuação, se esta for uma chamada de continuação.

Resposta

• SecurityConfigurations – Uma matriz de objetos SecurityConfiguration.

  Uma lista de configurações de segurança.

• NextToken – String UTF-8.

  Um token de continuação, se houver mais configurações de segurança para retornar.

Erros

• EntityNotFoundException

• InvalidInputException

• InternalServiceException

• OperationTimeoutException

Ação GetResourcePolicies (Python: get_resource_policies)

Recupera as políticas de recursos definidas em recursos individuais pelo AWS Resource Access Manager durante concessões de permissões entre contas. Recupera também a política de recurso do Data Catalog.

Se você tiver ativado a criptografia de metadados nas definições do Data Catalog e não tiver permissão na chave do AWS KMS, a operação não poderá retornar a política de recurso do Data Catalog.

Solicitação

• NextToken – String UTF-8.

  Um token de continuação, se esta for uma solicitação de continuação.

• MaxResults – Número (inteiro), superior a 1 ou mais que 1000.

  O tamanho máximo de uma lista a ser retornada.

Resposta

• GetResourcePoliciesResponseList – Uma matriz de objetos GluePolicy.

  Uma lista das políticas de recursos individuais e a política de recursos de nível de conta.

• NextToken – String UTF-8.

  Um token de continuação, se a lista retornada não contiver a política de recurso mais recente disponível.

Erros

• InternalServiceException

• OperationTimeoutException

• InvalidInputException

• GlueEncryptionException