AWS tags em AWS Glue

Para ajudar você a gerenciar seus recursos do AWS Glue, você pode, opcionalmente, atribuir suas próprias tags para alguns tipos de recursos do AWS Glue. Uma tag é um rótulo que você atribui a um AWS recurso. Cada tag consiste em uma chave e um valor opcional, ambos definidos por você. Use tags no AWS Glue para organizar e identificar seus recursos. As tags podem ser usadas para criar relatórios de contabilidade de custos e restringir o acesso aos recursos. Se você estiver usando AWS Identity and Access Management, você pode controlar quais usuários da sua AWS conta têm permissão para criar, editar ou excluir tags. Além das permissões para chamar as APIs relacionadas a tags, você também precisa da permissão glue:GetConnection para chamar APIs de marcação em conexões e da permissão glue:GetDatabase para chamar APIs de marcação em bancos de dados. Para ter mais informações, consulte ABAC com o AWS Glue.

No AWS Glue, você pode marcar os seguintes recursos:

• Conexão

• Banco de dados

• Crawler

• Sessão interativa

• Endpoint de desenvolvimento

• Trabalho

• Trigger

• Fluxo de trabalho

• Blueprint

• Transformação de machine learning

• Regras de qualidade de dados

• Esquemas de fluxo

• Registros do esquema de fluxo

nota

Como uma das melhores práticas, para permitir a marcação desses recursos do AWS Glue, sempre inclua a ação glue:TagResource em suas políticas.

Considere o seguinte ao usar tags no AWS Glue.

• Uma entidade suporta um máximo de 50 tags.

• No AWS Glue, você especifica as tags como uma lista de pares de chave-valor no formato {"string": "string" ...}

• Quando você cria uma tag em um objeto, a chave da tag é obrigatória, e o valor da tag é opcional.

• A chave e o valor da tag diferenciam maiúsculas de minúsculas.

• A chave da tag e o valor da tag não devem conter o prefixo aws. Nenhuma operação é permitida nessas tags.

• O comprimento máximo da chave da tag é de 128 caracteres Unicode em UTF-8. A chave da tag não pode estar vazia nem ser nula.

• O comprimento máximo do valor da tag é de 256 caracteres Unicode em UTF-8. O valor da tag pode estar vazio ou ser nulo.

Suporte de marcação para conexões AWS Glue

Você pode restringir as permissões das ações CreateConnection, UpdateConnection, GetConnection e DeleteConnection com base na marcação de recurso. Isso permite que você implemente o controle de acesso com privilégios mínimos em AWS Glue trabalhos com fontes de dados JDBC que precisam buscar informações de conexão JDBC do Catálogo de Dados.

Exemplo de uso

Crie uma AWS Glue conexão com a tag ["connection-category”, “dev-test"].

Especifique a condição da marcação para a ação GetConnection na política do IAM.

{
   "Effect": "Allow",
   "Action": [
     "glue:GetConnection"
     ],
   "Resource": "*",
   "Condition": {
     "ForAnyValue:StringEquals": {
       "aws:ResourceTag/tagKey": "dev-test"
     }
   }
 }

Exemplos

Os exemplos a seguir criam um trabalho com tags atribuídas.

AWS CLI

aws glue create-job --name job-test-tags --role MyJobRole --command Name=glueetl,ScriptLocation=S3://aws-glue-scripts//prod-job1 
--tags key1=value1,key2=value2

AWS CloudFormation JSON

{
  "Description": "AWS Glue Job Test Tags",
  "Resources": {
    "MyJobRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Effect": "Allow",
              "Principal": {
                "Service": [
                  "glue.amazonaws.com"
                ]
              },
              "Action": [
                "sts:AssumeRole"
              ]
            }
          ]
        },
        "Path": "/",
        "Policies": [
          {
            "PolicyName": "root",
            "PolicyDocument": {
              "Version": "2012-10-17",
              "Statement": [
                {
                  "Effect": "Allow",
                  "Action": "*",
                  "Resource": "*"
                }
              ]
            }
          }
        ]
      }
    },
    "MyJob": {
      "Type": "AWS::Glue::Job",
      "Properties": {
        "Command": {
          "Name": "glueetl",
          "ScriptLocation": "s3://aws-glue-scripts//prod-job1"
        },
        "DefaultArguments": {
          "--job-bookmark-option": "job-bookmark-enable"
        },
        "ExecutionProperty": {
          "MaxConcurrentRuns": 2
        },
        "MaxRetries": 0,
        "Name": "cf-job1",
        "Role": {
           "Ref": "MyJobRole",
           "Tags": {
                "key1": "value1", 
                "key2": "value2"
           } 
        }
      }
    }
  }
}

AWS CloudFormation YAML

Description: AWS Glue Job Test Tags
Resources:
  MyJobRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service:
                - glue.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: "/"
      Policies:
        - PolicyName: root
          PolicyDocument:
            Version: '2012-10-17'
            Statement:
              - Effect: Allow
                Action: "*"
                Resource: "*"
  MyJob:
    Type: AWS::Glue::Job
    Properties:
      Command:
        Name: glueetl
        ScriptLocation: s3://aws-glue-scripts//prod-job1
      DefaultArguments:
        "--job-bookmark-option": job-bookmark-enable
      ExecutionProperty:
        MaxConcurrentRuns: 2
      MaxRetries: 0
      Name: cf-job1
      Role:
        Ref: MyJobRole
        Tags:
           key1: value1
           key2: value2

Para obter mais informações, consulte Estratégias de marcação daAWS.

Para obter informações sobre como controlar o acesso usando tags, consulte ABAC com o AWS Glue.