Weitergabe von vertrauenswürdigen Identitäten mit AWS Glue ETL - AWS Glue
ÜbersichtFeatures und VorteileAnwendungsfälleFunktionsweiseIntegrationen

Weitergabe von vertrauenswürdigen Identitäten mit AWS Glue ETL

Mit IAM Identity Center können Sie eine Verbindung zu Identitätsanbietern (IDPs) herstellen und den Zugriff für Benutzer und Gruppen über AWS-Analyseservices hinweg zentral verwalten. Sie können Identitätsanbieter wie Okta, Ping und Microsoft Entra ID (früher Azure Active Directory) in IAM Identity Center integrieren, damit Benutzer in Ihrer Organisation über eine Single-Sign-On-Erfahrung auf Daten zugreifen können. IAM Identity Center unterstützt auch die Verbindung weiterer externer Identitätsanbieter.

Mit AWS Glue 5.0 und höher können Sie Benutzeridentitäten aus dem IAM Identity Center an interaktive AWS Glue-Sitzungen weitergeben. AWS Glue Interaktive Sitzungen werden die bereitgestellte Identität weiter an nachgelagerte Services wie Amazon S3 Access Grants, AWS Lake Formation und Amazon Redshift weitergeben und so einen sicheren Datenzugriff über Benutzeridentitäten in diesen nachgelagerten Diensten ermöglichen.

Übersicht

Identity Center ist der empfohlene Ansatz für die Authentifizierung und Autorisierung von Mitarbeitern auf AWS für Unternehmen jeder Größe und Art. Mit Identity Center können Sie Benutzeridentitäten in AWS erstellen und verwalten oder Ihre vorhandenen Identitätsquelle verknüpfen, einschließlich Microsoft Active Directory, Okta, Ping Identity, JumpCloud, Google Workspace und Microsoft Entra ID (ehemals Azure AD).

Die Verbreitung vertrauenswürdiger Identitäten ist ein Feature von IAM Identity Center, mit der Administratoren verbundener AWS-Services Zugriff auf Servicedaten gewähren und prüfen können. Der Zugriff auf diese Daten basiert auf Benutzerattributen wie Gruppenzuordnungen. Die Einrichtung der Weitergabe vertrauenswürdiger Identitäten erfordert die Zusammenarbeit zwischen den Administratoren der verbundenen AWS-Services und den IAM Identity Center-Administratoren.

Features und Vorteile

Die Integration interaktiver AWS Glue-Sitzungen in die Verbreitung vertrauenswürdiger Identitäten von IAM Identity Center bietet die folgenden Vorteile:

  • Die Möglichkeit, die Autorisierung auf Tabellenebene und eine detaillierte Zugriffskontrolle mit Identity-Center-Identitäten für von Lake Formation verwaltete AWS Glue-Datenkatalogtabellen zu erzwingen.

  • Die Möglichkeit, die Autorisierung mit Identity-Center-Identitäten auf Amazon-Redshift-Clustern zu erzwingen.

  • Die Möglichkeit der durchgängigen Nachverfolgung von Benutzeraktionen zu Prüfungszwecken.

  • Die Möglichkeit, die Amazon-S3-Autorisierung auf Präfixebene mit Identity-Center-Identitäten auf von Amazon S3 Access Grants verwalteten Amazon S3-Präfixen durchzusetzen.

Anwendungsfälle

Interaktive Datenexploration und -analyse

Dateningenieure nutzen ihre Unternehmensidentitäten, um nahtlos auf Daten mehrerer AWS-Konten zuzugreifen und diese zu analysieren. Über SageMaker Studio starten sie interaktive Spark-Sitzungen über AWS Glue ETL und stellen eine Verbindung zu verschiedenen Datenquellen her, darunter Amazon S3 und AWS Glue-Datenkatalog. Während Dateningenieure Datensätze untersuchen, setzt Spark detaillierte Zugriffskontrollen durch, die in Lake Formation basierend auf ihren Identitäten definiert wurden. So wird sichergestellt, dass sie nur autorisierte Daten einsehen können. Alle Abfragen und Datentransformationen werden mit der Identität des Benutzers protokolliert, wodurch ein klarer Audit Trail entsteht. Dieser optimierte Ansatz ermöglicht die schnelle Prototypenentwicklung neuer Analyseprodukte bei gleichzeitiger Einhaltung einer strengen Daten-Governance in allen Clientumgebungen.

Datenaufbereitung und Feature Engineering

Datenwissenschaftler aus mehreren Forschungsteams können dank einer einheitlichen Datenplattform an komplexen Projekten zusammenarbeiten. Sie melden sich mit ihren Unternehmensanmeldeinformationen bei SageMaker Studio an und greifen sofort auf einen riesigen, gemeinsam genutzten Data Lake zu, der sich über mehrere AWS-Konten erstreckt. Während sie mit der Feature-Entwicklung für neue Modelle des maschinellen Lernens beginnen, setzen die über AWS Glue ETL gestarteten Spark-Sitzungen die Sicherheitsrichtlinien von Lake Formation auf Spalten- und Zeilenebene basierend auf ihren weitergegebenen Identitäten durch. Wissenschaftler können mit vertrauten Tools Daten effizient aufbereiten und Features entwickeln, während die Compliance-Teams die Gewissheit haben, dass jede Dateninteraktion automatisch nachverfolgt und geprüft wird. Diese sichere, kollaborative Umgebung beschleunigt die Forschungspipelines und hält gleichzeitig die strengen Datenschutzstandards aufrecht, die in regulierten Branchen notwendig sind.

Funktionsweise

Architekturdiagramm, das den Workflow interaktiver AWS Glue-Sitzungen zeigt. Ein Benutzer meldet sich über IAM Identity Center bei clientseitigen Anwendungen (SageMaker Unified Studio oder benutzerdefinierte Anwendungen) an. Die Identität des Benutzers wird an interaktive AWS Glue-Sitzungen weitergegeben. Damit wird dann eine Verbindung zu Zugriffskontrolldiensten wie IAM Identity Center, AWS Lake Formation, AWS Glue-Datenkatalog und Amazon S3 Access Grant hergestellt, bevor sie schließlich auf S3 Storage zugreifen.

Ein Benutzer meldet sich mit seiner Unternehmensidentität über IAM Identity Center bei clientseitigen Anwendungen (SageMaker AI oder benutzerdefinierte Anwendungen) an. Diese Identität wird dann über die gesamte Datenzugriffspipeline weitergegeben.

Der authentifizierte Benutzer startet interaktive AWS AWS Glue-Sitzungen, die als Computing-Engine für die Datenverarbeitung dienen. In diesen Sitzungen wird der Identitätskontext des Benutzers während des gesamten Workflows beibehalten.

AWS Lake Formation und der AWS Glue-Datenkatalog arbeiten zusammen, um detaillierte Zugriffskontrollen durchzusetzen. Lake Formation wendet Sicherheitsrichtlinien an, die auf der weitergegebenen Identität des Benutzers basieren, während Amazon S3 Access Grant zusätzliche Berechtigungsebenen bietet, sodass Benutzer nur auf Daten zugreifen können, zu deren Anzeige sie berechtigt sind.

Schließlich stellt das System eine Verbindung zu Amazon S3 Storage her, wo sich die eigentlichen Daten befinden. Der gesamte Zugriff unterliegt den kombinierten Sicherheitsrichtlinien, wodurch die Datenverwaltung gewahrt bleibt und gleichzeitig eine interaktive Datenexploration und -analyse ermöglicht wird. Diese Architektur ermöglicht einen sicheren, identitätsbasierten Datenzugriff über mehrere AWS-Services hinweg und gewährleistet gleichzeitig eine nahtlose Benutzererfahrung für Datenwissenschaftler und Dateningenieure, die mit großen Datensätzen arbeiten.

Integrationen

AWS-verwaltete Entwicklungsumgebung

Die folgenden von AWS verwalteten clientseitigen Anwendungen unterstützen die Verbreitung vertrauenswürdiger Identitäten mit interaktiven AWS Glue-Sitzungen:

Sagemaker Unified Studio

So verwenden Sie die Weitergabe vertrauenswürdiger Identitäten mit Sagemaker Unified Studio:

  1. Richten Sie das Sagemaker-Unified-Studio-Projekt mit aktivierter Verbreitung vertrauenswürdiger Identitäten als clientseitige Entwicklungsumgebung ein.

  2. Richten Sie Lake Formation ein, um eine differenzierte Zugriffskontrolle für AWS Glue-Tabellen zu ermöglichen, die auf dem Benutzer oder der Gruppe in IAM Identity Center basieren.

  3. Richten Sie Amazon S3 Access Grants ein, um den temporären Zugriff auf die zugrunde liegenden Datenspeicherorte in Amazon S3 zu ermöglichen.

  4. Öffnen Sie den JupyterLab-IDE-Bereich von Sagemaker Unified Studio und wählen Sie AWS Glue als Computing-Engine für die Notebook-Ausführung aus.

Vom Kunden verwaltete, selbst gehostete Notebook-Umgebung

Informationen zur Aktivierung der Weitergabe vertrauenswürdiger Identitäten für Benutzer von individuell entwickelten Anwendungen finden Sie unter Programmgesteuerter Zugriff auf AWS-Services mithilfe der Weitergabe vertrauenswürdiger Identitäten im AWS-Sicherheitsblog.