Erste Schritte mit der Verbreitung vertrauenswürdiger Identitäten in AWS Glue ETL - AWS Glue
VoraussetzungenFür die Verbindung von AWS Glue ETL mit IAM Identity Center sind Berechtigungen erforderlichVerbindung AWS Glue mit IAM Identity Center herstellenEine AWS Glue interaktive Sitzung mit aktivierter Trusted Identity Propagation erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit der Verbreitung vertrauenswürdiger Identitäten in AWS Glue ETL

In diesem Abschnitt erfahren Sie, wie Sie eine AWS Glue Anwendung mit interaktiven Sitzungen konfigurieren, um sie in IAM Identity Center zu integrieren und die Verbreitung vertrauenswürdiger Identitäten zu aktivieren.

Voraussetzungen

  • Eine Identity Center-Instanz in der AWS Region, in der Sie AWS Glue interaktive Sitzungen mit aktivierter Trusted Identity Propagation erstellen möchten. Eine Identity Center-Instanz kann für ein AWS Konto nur in einer einzigen Region existieren. Weitere Informationen finden Sie unter Aktivieren von IAM Identity Center und Bereitstellen von Benutzern und Gruppen aus Ihrer Identitätsquelle in IAM Identity Center.

  • Aktivieren Sie die Weitergabe vertrauenswürdiger Identitäten für nachgelagerte Services wie Lake Formation oder Amazon S3 Access Grants oder Amazon-Redshift-Cluster, mit denen interaktive Workloads interagieren, um auf Daten zuzugreifen.

Für die Verbindung von AWS Glue ETL mit IAM Identity Center sind Berechtigungen erforderlich

Erstellen einer IAM-Rolle

Die Rolle, die die IAM-Identity-Center-Verbindung herstellt, erfordert Berechtigungen zum Erstellen und Ändern der Anwendungskonfiguration in AWS Glue und IAM Identity Center, wie in den folgenden Inline-Richtlinien beschrieben.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateGlueIdentityCenterConfiguration",
                "sso:CreateApplication",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAccessScope",
                "sso:ListInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Die folgenden Inline-Richtlinien enthalten spezifische Berechtigungen, die zum Anzeigen, Aktualisieren und Löschen der Eigenschaften der AWS Glue -Integration in IAM Identity Center erforderlich sind.

Verwenden Sie die folgende Inline-Richtlinie, damit eine IAM-Rolle eine AWS Glue Integration mit IAM Identity Center einsehen kann.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetGlueIdentityCenterConfiguration"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Verwenden Sie die folgende Inline-Richtlinie, damit eine IAM-Rolle die AWS Glue Integration mit IAM Identity Center aktualisieren kann.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:UpdateGlueIdentityCenterConfiguration",
                "sso:PutApplicationAccessScope",
                "sso:DeleteApplicationAccessScope"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Verwenden Sie die folgende Inline-Richtlinie, um einer IAM-Rolle das Löschen einer AWS Glue Integration mit IAM Identity Center zu ermöglichen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:DeleteGlueIdentityCenterConfiguration",
                "sso:DeleteApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Beschreibung von Zugriffsberechtigungen

  • glue:CreateGlueIdentityCenterConfiguration— Erteilt die Berechtigung zum Erstellen der AWS Glue IdC-Konfiguration.

  • glue:GetGlueIdentityCenterConfiguration – Gewährt die Berechtigung zum Abrufen einer vorhandenen IdC-Konfiguration.

  • glue:DeleteGlueIdentityCenterConfiguration— Erteilt die Erlaubnis, eine bestehende AWS Glue IdC-Konfiguration zu löschen.

  • glue:UpdateGlueIdentityCenterConfiguration— Erteilt die Erlaubnis, eine bestehende AWS Glue IdC-Konfiguration zu aktualisieren.

  • sso:CreateApplication— Erteilt die Erlaubnis, eine AWS Glue verwaltete IAM Identity Center-Anwendung zu erstellen.

  • sso:DescribeApplication— Erteilt die Erlaubnis, eine AWS Glue verwaltete IAM Identity Center-Anwendung zu beschreiben.

  • sso:DeleteApplication— Erteilt die Berechtigung zum Löschen einer AWS Glue verwalteten IAM Identity Center-Anwendung.

  • sso:UpdateApplication— Erteilt die Erlaubnis, eine AWS Glue verwaltete IAM Identity Center-Anwendung zu aktualisieren.

  • sso:PutApplicationGrant— Erteilt die Erlaubnis, Token-Exchange, IntrospectToken, RefreshToken und Grants auf IdC-Anwendungen anzuwenden. RevokeToken

  • sso:PutApplicationAuthenticationMethod— Erteilt die Erlaubnis, AuthenticationMethod auf eine AWS Glue verwaltete IdC-Anwendung anzuwenden, sodass der Dienstprinzipal mit der IdC-Anwendung interagieren kann. AWS Glue

  • sso:PutApplicationAccessScope— Erteilt die Berechtigung, die Liste der autorisierten Downstream-Servicebereiche in der verwalteten IdC-Anwendung hinzuzufügen oder zu aktualisieren. AWS Glue

  • sso:DeleteApplicationAccessScope- Erteilt die Erlaubnis, Downstream-Bereiche zu löschen, wenn ein Bereich für die AWS Glue verwaltete IdC-Anwendung entfernt wird.

  • sso:PutApplicationAssignmentConfiguration— Erteilt die Berechtigung, die Einstellung „User-assignment-not-required“ in der IdC-Anwendung festzulegen.

  • sso:ListInstances— Erteilt die Berechtigung, Instanzen aufzulisten und den IDc zu validieren InstanceArn , den Sie im identity-center-configuration Parameter angeben.

Verbindung AWS Glue mit IAM Identity Center herstellen

Wenn AWS Glue eine Verbindung mit dem IAM Identity Center hergestellt ist, wird pro Konto eine einzige verwaltete IdC-Anwendung erstellt. Das folgende Beispiel zeigt, wie Sie eine Verbindung AWS Glue mit IAM Identity Center herstellen können:

aws glue create-glue-identity-center-configuration \
--instance-arn arn:aws:sso:::instance/ssoins-123456789 \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'

Um die Bereiche der verwalteten Anwendung zu aktualisieren (normalerweise für die Weitergabe an weitere nachgelagerte Services), können Sie Folgendes verwenden:

aws glue update-glue-identity-center-configuration \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'

Der Scopes-Parameter für Bereiche ist optional und alle Bereiche werden hinzugefügt, wenn sie nicht angegeben werden. Die unterstützten Werte sind s3:access_grants:read_write, redshift:connect und lakeformation:query.

Zum Abrufen der Details der Konfiguration können Sie Folgendes verwenden:

aws glue get-glue-identity-center-configuration

Sie können die Verbindung zwischen AWS Glue und IAM Identity Center mit dem folgenden Befehl löschen:

aws glue delete-glue-identity-center-configuration
Anmerkung

AWS Glue erstellt in Ihrem Konto eine vom Dienst verwaltete Identity Center-Anwendung, die der Dienst für Identitätsprüfungen und die Weitergabe von Identitäten an nachgelagerte Dienste nutzt. AWS Glue Die erstellte verwaltete Identity Center-Anwendung wird von allen trusted-identity-propagation Sitzungen in Ihrem Konto gemeinsam genutzt.

Warnung: Ändern Sie die Einstellungen der verwalteten Identity-Center-Anwendung nicht manuell. Jede Änderung könnte sich auf alle trusted-identity-propagation aktivierten AWS Glue interaktiven Sitzungen in Ihrem Konto auswirken.

Eine AWS Glue interaktive Sitzung mit aktivierter Trusted Identity Propagation erstellen

Nachdem Sie eine Verbindung AWS Glue mit IAM Identity Center hergestellt haben, können Sie identitätserweiterte Rollenanmeldedaten verwenden, um eine AWS Glue interaktive Sitzung zu erstellen. Sie müssen keine zusätzlichen Parameter übergeben, wenn Sie eine 5.0-Sitzung erstellen. AWS Glue Da es mit dem IAM Identity Center verbunden AWS Glue ist, leitet es bei AWS Glue Erkennung identity-enhanced-role-credentials die Identitätsinformationen automatisch an nachgelagerte Dienste weiter, die im Rahmen Ihrer Kontoauszüge aufgerufen werden. Die Laufzeitrolle für die Sitzung benötigt jedoch die unten dargestellte sts:SetContext-Berechtigung.

Laufzeitrollenberechtigungen zur Weitergabe der Identität

Da AWS Glue Sitzungen identitätserweiterte Anmeldeinformationen nutzen, um Identität an nachgelagerte AWS Dienste weiterzugeben, muss die Vertrauensrichtlinie ihrer Laufzeitrolle über zusätzliche Berechtigungen sts:SetContext verfügen, um die Identitätsweitergabe an nachgelagerte Dienste (Amazon S3 Access-Grant, Lake Formation, Amazon Redshift) zu ermöglichen. Weitere Informationen zum Erstellen einer Laufzeitrolle finden Sie unter Einrichten einer Laufzeitrolle.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "glue.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
      ]
    }
  ]
}

Darüber hinaus würde die Runtime-Rolle Berechtigungen für nachgelagerte AWS Dienste benötigen, die Job-Run aufrufen würde, um Daten mithilfe der Benutzeridentität abzurufen. Unter den folgenden Links finden Sie Informationen zum Konfigurieren von Amazon S3 Access Grants und Lake Formation: