AWS Glue ETL 可信身份传播集成的注意事项和限制

重要

默认情况下，会话不是私有的，这意味着 IdC 用户可以访问其他 IdC 用户的会话。您可以使用 TagonCreate 将自己的会话设为私有。例如，您可以将会话添加一个 owner 标签，其值为 IDC 用户 ID，然后在策略中使用类似于 identitystore:UserId 的全局条件键，从而根据客户端主体/运行时角色策略中的 owner 标签验证所有会话 API 操作，确保 IdC 用户无法访问其他 IdC 用户的会话。

将 IAM Identity Center 可信身份传播与 AWS Glue 应用程序结合使用时，应注意以下几点：

• AWS Glue 5.0 及更高版本支持通过 Identity Center 进行可信身份传播，但仅限于使用 AWS Glue 交互式会话时。

• Lake Formation Identity Center 集成涵盖了 AWS Glue Data Catalog。

• 可信身份传播仅限于 AWS Glue 中的交互式会话，不包括其他数据处理实体，例如作业、触发器、工作流和机器学习任务。但是，所有 AWS Glue API 都会在 AWS CloudTrail 中记录用户身份以供审计。

• AWS Glue 目前仅支持通过 API 和 CLI 接口与 IAM Identity Center 集成，不支持通过控制台集成。

• 在 AWS Glue 端启用应用程序后，请务必使用 IdC 凭证创建 5.0 会话，而不要使用 IdC 凭证创建 4.0 会话。

• 以下 AWS 区域支持将可信身份传播与 AWS Glue 结合使用：

  • af-south-1 – 非洲（开普敦）

  • ap-east-1 – 亚太地区（香港）

  • ap-northeast-1 – 亚太地区（东京）

  • ap-northeast-2 – 亚太地区（首尔）

  • ap-northeast-3 – 亚太地区（大阪）

  • ap-south-1 – 亚太地区（孟买）

  • ap-southeast-1 – 亚太地区（新加坡）

  • ap-southeast-2 – 亚太地区（悉尼）

  • ap-southeast-3 – 亚太地区（雅加达）

  • ca-central-1 – 加拿大（中部）

  • eu-central-1 –欧洲（法兰克福）

  • eu-north-1 – 欧洲（斯德哥尔摩）

  • eu-south-1 – 欧洲地区（米兰）

  • eu-west-1 –欧洲（爱尔兰）

  • eu-west-2 – 欧洲（伦敦）

  • eu-west-3 – 欧洲（巴黎）

  • me-south-1 – 中东（巴林）

  • sa-east-1 – 南美洲（圣保罗）

  • us-east-1 – 美国东部（弗吉尼亚北部）

  • us-east-2 – 美国东部（俄亥俄）

  • us-west-1 – 美国西部（加利福尼亚北部）

  • us-west-2 – 美国西部（俄勒冈）