AWS Glue ETL 受信任身分傳播整合的考量和限制

重要

根據預設，工作階段不是私有的，這表示一個 IdC 使用者可以存取另一個 IdC 使用者的工作階段。您可以使用 tagOnCreate 將您的工作階段設為私有。例如，工作階段可以使用擁有者標籤及其值標記為 IDC 使用者 ID，然後在政策上，您可以使用全域條件金鑰identitystore:UserId，例如 對所有工作階段 API 操作的用戶端主體/執行期角色政策中的擁有者標籤進行驗證，以確保一個 IdC 使用者無法存取另一個 IdC 使用者的工作階段。

當您搭配 AWS Glue 應用程式使用 IAM Identity Center Trusted Identity Propagation 時，請考慮下列幾點：

• AWS Glue 5.0 及更高版本支援透過 Identity Center 的受信任身分傳播，且僅適用於 AWS Glue 互動式工作階段。

• AWS Glue Lake Formation 身分中心整合涵蓋資料目錄。

• 信任的身分傳播僅限於 中的互動式工作階段 AWS Glue，不包括任務、觸發條件、工作流程和 ML 任務等其他資料處理實體。不過， AWS Glue APIs 中記錄使用者身分 AWS CloudTrail 以進行稽核。

• AWS Glue 目前僅支援透過 API 和 CLI 介面與 IAM Identity Center 整合，而非透過主控台。

• 在 AWS Glue 端啟用應用程式後，請務必使用 IdC 登入資料建立 5.0 工作階段，但不要使用 IdC 登入資料建立 4.0 工作階段。

• 下列 AWS 區域 AWS Glue 支援使用 的受信任身分傳播：

  • af-south-1 – 非洲 （開普敦）

  • ap-east-1 – 亞太區域 （香港）

  • ap-northeast-1 – 亞太區域 (東京)

  • ap-northeast-2 – 亞太區域 (首爾)

  • ap-northeast-3 – 亞太區域 （大阪）

  • ap-south-1 – 亞太區域 (孟買)

  • ap-southeast-1 – 亞太區域 (新加坡)

  • ap-southeast-2 – 亞太區域 (雪梨)

  • ap-southeast-3 – 亞太區域 （雅加達）

  • ca-central-1 – 加拿大 (中部)

  • eu-central-1 – 歐洲 (法蘭克福)

  • eu-north-1 – 歐洲 (斯德哥爾摩)

  • eu-south-1 – 歐洲 （米蘭）

  • eu-west-1 – 歐洲 (愛爾蘭)

  • eu-west-2 – 歐洲 (倫敦)

  • eu-west-3 – 歐洲 (巴黎)

  • me-south-1 – 中東 （巴林）

  • sa-east-1 – 南美洲 (聖保羅)

  • us-east-1 – 美國東部 (維吉尼亞北部)

  • us-east-2 – 美國東部 (俄亥俄州)

  • us-west-1 – 美國西部 (加利佛尼亞北部)

  • us-west-2 – 美國西部 (奧勒岡州)