Gewähren von Richtlinien mit dynamischem Geltungsbereich für die Auftragsausführung
AWS Glue bietet eine leistungsstarke neue Funktion: dynamische Sitzungsrichtlinien für die Ausführung von Aufträgen. Mit diesem Feature können Sie benutzerdefinierte, detaillierte Berechtigungen für jeden ausgeführten Auftrag angeben, ohne mehrere IAM-Rollen erstellen zu müssen.
Wenn Sie einen Glue-Auftrag mithilfe der StartJobRun-API starten, können Sie eine Inline-Sitzungsrichtlinie einbeziehen. Diese Richtlinie ändert vorübergehend die Berechtigungen der Ausführungsrolle des Auftrags für die Dauer der jeweiligen Auftragsausführung. Das ist vergleichbar mit der Verwendung temporärer Anmeldeinformationen mit der AssumeRole-API in anderen AWS-Services.
Verbesserte Sicherheit: Sie können die Auftragsberechtigungen auf das für jede Ausführung erforderliche Minimum beschränken.
Vereinfachtes Management: Macht es überflüssig, zahlreiche IAM-Rollen für verschiedene Szenarien zu erstellen und zu verwalten.
Flexibilität: Sie können die Berechtigungen dynamisch basierend auf Laufzeitparametern oder mandantenspezifischen Anforderungen anpassen.
Skalierbarkeit: Diese Methode eignet sich sehr gut für Umgebungen mit mehreren Mandanten, in denen Sie Ressourcen zwischen Mandanten isolieren müssen.
Beispiele für die Gewährung von Richtlinien mit dynamischem Geltungsbereich:
Die folgenden Beispiele veranschaulichen, wie Aufträgen Lesezugriff und Schreibzugriff nur für einen bestimmten Amazon-S3-Bucket-Pfad gewährt werden, wobei der Pfad dynamisch durch die Auftragsausführungs-ID bestimmt wird. Dies veranschaulicht, wie detaillierte, ausführungsspezifische Berechtigungen für jede Auftragsausführung implementiert werden.
Von CLI
aws glue start-job-run \ --job-name "your-job-name" \ --execution-role-session-policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::specific-bucket/${JobRunId}/*" ] } ] }'
