Octroi de politiques à portée dynamique pour l'exécution des tâches - AWS Glue

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi de politiques à portée dynamique pour l'exécution des tâches

AWS Glue propose une nouvelle fonctionnalité puissante : des politiques de session dynamiques pour l'exécution des tâches. Cette fonctionnalité vous permet de définir des autorisations personnalisées et détaillées pour chaque tâche exécutée sans créer plusieurs rôles IAM.

Lorsque vous démarrez une tâche Glue à l'aide de l'StartJobRunAPI, vous pouvez inclure une politique de session intégrée. Cette politique modifie temporairement les autorisations du rôle d'exécution de la tâche pendant la durée de l'exécution de cette tâche spécifique. Cela revient à utiliser des informations d'identification temporaires avec l'AssumeRoleAPI dans d'autres AWS services.

  • Sécurité renforcée : vous pouvez limiter les autorisations de travail au minimum nécessaire pour chaque exécution.

  • Gestion simplifiée : élimine le besoin de créer et de gérer de nombreux rôles IAM pour différents scénarios.

  • Flexibilité : vous pouvez ajuster les autorisations de manière dynamique en fonction des paramètres d'exécution ou des besoins spécifiques du locataire.

  • Évolutivité : cette méthode excelle dans les environnements à locataires multiples où vous devez isoler les ressources entre les locataires.

Exemples d'autorisation d'utilisation de politiques à portée dynamique :

Les exemples suivants montrent comment accorder aux tâches un accès en lecture et en écriture uniquement à un chemin de compartiment Amazon S3 spécifique, le chemin étant déterminé dynamiquement par l'ID d'exécution de la tâche. Cela montre comment implémenter des autorisations granulaires spécifiques à l'exécution pour chaque tâche exécutée.

À partir de CLI

aws glue start-job-run \
    --job-name "your-job-name" \
    --execution-role-session-policy '{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject"
                ],
                "Resource": [
                    "arn:aws:s3:::specific-bucket/${JobRunId}/*"
                ]
            }
        ]
    }'