Erteilen von Richtlinien mit dynamischem Geltungsbereich für die Auftragsausführung - AWS Glue

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen von Richtlinien mit dynamischem Geltungsbereich für die Auftragsausführung

AWS Glue bietet eine leistungsstarke neue Funktion: dynamische Sitzungsrichtlinien für die Ausführung von Jobs. Mit dieser Funktion können Sie benutzerdefinierte, detaillierte Berechtigungen für jeden ausgeführten Job angeben, ohne mehrere IAM-Rollen erstellen zu müssen.

Wenn Sie einen Glue-Job mithilfe der StartJobRun API starten, können Sie eine Inline-Sitzungsrichtlinie einbeziehen. Diese Richtlinie ändert vorübergehend die Berechtigungen der Ausführungsrolle des Jobs für die Dauer der jeweiligen Auftragsausführung. Es ist vergleichbar mit der Verwendung temporärer Anmeldeinformationen mit der AssumeRole API in anderen AWS Diensten.

  • Verbesserte Sicherheit: Sie können die Auftragsberechtigungen auf das für jeden Lauf erforderliche Minimum beschränken.

  • Vereinfachtes Management: Eliminiert die Notwendigkeit, zahlreiche IAM-Rollen für verschiedene Szenarien zu erstellen und zu verwalten.

  • Flexibilität: Sie können die Berechtigungen dynamisch auf der Grundlage von Laufzeitparametern oder mandantenspezifischen Anforderungen anpassen.

  • Skalierbarkeit: Diese Methode eignet sich hervorragend für Umgebungen mit mehreren Mandanten, in denen Sie Ressourcen zwischen Mandanten isolieren müssen.

Beispiele für die Gewährung der Verwendung von Richtlinien mit dynamischem Geltungsbereich:

Die folgenden Beispiele zeigen, dass Jobs Lese - und Schreibzugriff nur für einen bestimmten Amazon S3 S3-Bucket-Pfad gewährt werden, wobei der Pfad dynamisch durch die Job-Ausführungs-ID bestimmt wird. Dies veranschaulicht, wie detaillierte, ausführungsspezifische Berechtigungen für jede Auftragsausführung implementiert werden.

Von CLI

aws glue start-job-run \
    --job-name "your-job-name" \
    --execution-role-session-policy '{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject"
                ],
                "Resource": [
                    "arn:aws:s3:::specific-bucket/${JobRunId}/*"
                ]
            }
        ]
    }'