Octroi de politiques à portée dynamique pour l’exécution des tâches
AWS Glue propose une nouvelle fonctionnalité performante : des politiques de session dynamiques pour l’exécution des tâches. Cette fonctionnalité vous permet de définir des autorisations personnalisées et détaillées pour chaque tâche exécutée sans créer plusieurs rôles IAM.
Lorsque vous démarrez une tâche Glue à l’aide de l’API StartJobRun, vous pouvez inclure une politique de session intégrée. Cette politique modifie temporairement les autorisations du rôle d’exécution de la tâche pendant la durée de l’exécution de cette tâche spécifique. Cela revient à utiliser des informations d’identification temporaires avec l’API AssumeRole dans d’autres services AWS.
Sécurité renforcée : vous pouvez limiter les autorisations de la tâche au minimum nécessaire pour chaque exécution.
Gestion simplifiée : élimine le besoin de créer et de gérer de nombreux rôles IAM pour différents scénarios.
Flexibilité : vous pouvez ajuster les autorisations de manière dynamique en fonction des paramètres d’exécution ou des besoins propres au locataire.
Capacité de mise à l’échelle : cette méthode excelle dans les environnements à locataires multiples où vous devez isoler les ressources entre les locataires.
Exemples d’autorisation d’utilisation de politiques à portée dynamique :
Les exemples suivants montrent comment accorder aux tâches un accès en lecture et en écriture uniquement à un chemin d’accès au compartiment Amazon S3 spécifique, le chemin étant déterminé dynamiquement par l’ID d’exécution de la tâche. Ils montrent comment mettre en œuvre des autorisations granulaires propres à l’exécution pour chaque tâche exécutée.
À partir de la CLI
aws glue start-job-run \ --job-name "your-job-name" \ --execution-role-session-policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::specific-bucket/${JobRunId}/*" ] } ] }'
