Gewähren von Richtlinien mit dynamischem Geltungsbereich für die Auftragsausführung - AWS Glue

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gewähren von Richtlinien mit dynamischem Geltungsbereich für die Auftragsausführung

AWS Glue bietet eine leistungsstarke neue Funktion: dynamische Sitzungsrichtlinien für die Ausführung von Jobs. Mit diesem Feature können Sie benutzerdefinierte, detaillierte Berechtigungen für jeden ausgeführten Auftrag angeben, ohne mehrere IAM-Rollen erstellen zu müssen.

Wenn Sie einen Glue-Auftrag mithilfe der StartJobRun-API starten, können Sie eine Inline-Sitzungsrichtlinie einbeziehen. Diese Richtlinie ändert vorübergehend die Berechtigungen der Ausführungsrolle des Auftrags für die Dauer der jeweiligen Auftragsausführung. Es ist vergleichbar mit der Verwendung temporärer Anmeldeinformationen mit der AssumeRole API in anderen AWS Diensten.

  • Verbesserte Sicherheit: Sie können die Auftragsberechtigungen auf das für jede Ausführung erforderliche Minimum beschränken.

  • Vereinfachtes Management: Macht es überflüssig, zahlreiche IAM-Rollen für verschiedene Szenarien zu erstellen und zu verwalten.

  • Flexibilität: Sie können die Berechtigungen dynamisch basierend auf Laufzeitparametern oder mandantenspezifischen Anforderungen anpassen.

  • Skalierbarkeit: Diese Methode eignet sich sehr gut für Umgebungen mit mehreren Mandanten, in denen Sie Ressourcen zwischen Mandanten isolieren müssen.

Beispiele für die Gewährung von Richtlinien mit dynamischem Geltungsbereich:

Die folgenden Beispiele veranschaulichen, wie Aufträgen Lesezugriff und Schreibzugriff nur für einen bestimmten Amazon-S3-Bucket-Pfad gewährt werden, wobei der Pfad dynamisch durch die Auftragsausführungs-ID bestimmt wird. Dies veranschaulicht, wie detaillierte, ausführungsspezifische Berechtigungen für jede Auftragsausführung implementiert werden.

Von CLI

aws glue start-job-run \
    --job-name "your-job-name" \
    --execution-role-session-policy '{
        "Version": "2012-10-17",		 	 	 
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject"
                ],
                "Resource": [
                    "arn:aws:s3:::specific-bucket/${JobRunId}/*"
                ]
            }
        ]
    }'