Conceder políticas com escopo dinâmico para execução de trabalhos
O AWS Glue oferece um novo recurso poderoso: políticas de sessão dinâmicas para execução de trabalhos. Esse recurso permite que você especifique permissões personalizadas e refinadas para cada execução de trabalho sem criar vários perfis do IAM.
Ao iniciar um trabalho do Glue usando a API StartJobRun, você pode incluir uma política de sessão em linha. Essa política modifica temporariamente as permissões do perfil de execução do trabalho durante a execução desse trabalho específico. Isso é semelhante ao uso de credenciais temporárias com a API AssumeRole em outros serviços da AWS.
Segurança aprimorada: é possível limitar as permissões de trabalho ao mínimo necessário para cada execução.
Gerenciamento simplificado: elimina a necessidade de criar e manter vários perfis do IAM para diferentes cenários.
Flexibilidade: é possível ajustar as permissões dinamicamente com base nos parâmetros de tempo de execução ou nas necessidades específicas do locatário.
Escalabilidade: esse método é excelente em ambientes multilocatários em que é necessário isolar os recursos entre os locatários.
Exemplos para conceder o uso de políticas com escopo dinâmico:
Os exemplos a seguir demonstram a concessão de acesso de leitura e gravação aos trabalhos somente para um caminho específico do bucket do Amazon S3, em que o caminho é determinado dinamicamente pelo ID de execução do trabalho. Isso ilustra como implementar permissões granulares e específicas de execução para cada execução de trabalho.
Da CLI
aws glue start-job-run \ --job-name "your-job-name" \ --execution-role-session-policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::specific-bucket/${JobRunId}/*" ] } ] }'
