Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité de l’infrastructure dans AWS Glue
En tant que service géré, AWS Glue il est protégé par les procédures de sécurité du réseau AWS mondial décrites dans le livre blanc [Amazon Web Services : présentation des processus de sécurité](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Vous utilisez des appels d'API AWS publiés pour accéder AWS Glue via le réseau. Les clients doivent supporter le protocole TLS (Sécurité de la couche transport) 1.0 ou une version ultérieure. Nous recommandons TLS 1.2 ou version ultérieure. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.
**Topics**
+ [Configuration de points de terminaison d’un VPC d’interface (AWS PrivateLink) pour AWS Glue (AWS PrivateLink)](vpc-interface-endpoints.md)
+ [Configuration d'Amazon partagé VPCs](shared-vpc.md)
# Configuration de points de terminaison d’un VPC d’interface (AWS PrivateLink) pour AWS Glue (AWS PrivateLink)
Vous pouvez établir une connexion privée entre votre VPC et AWS Glue en créant un *point de terminaison de VPC d’interface*. Les points de terminaison de l'interface sont alimentés par [AWS PrivateLink](https://aws.amazon.com/privatelink)une technologie qui vous permet d'accéder en privé AWS Glue APIs sans passerelle Internet, appareil NAT, connexion VPN ou connexion AWS Direct Connect. Les instances de votre VPC ne nécessitent pas d'adresses IP publiques pour communiquer avec AWS Glue APIs. Le trafic entre votre VPC et AWS Glue ne quitte pas le réseau Amazon.
Chaque point de terminaison d’interface est représenté par une ou plusieurs [interfaces réseau Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dans vos sous-réseaux.
Pour de plus amples informations, consultez [Points de terminaison VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) dans le *Guide de l’utilisateur Amazon VPC*.
## Considérations relatives aux points de terminaison de VPC AWS Glue
Avant de configurer un point de terminaison de VPC d’interface pour AWS Glue, assurez-vous de vérifier les [Propriétés et limitations du point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) dans le *Guide de l’utilisateur Amazon VPC.*
AWS Glue prend en charge l’exécution d’appels en direction de toutes ses actions d’API depuis votre VPC.
## Création d’un point de terminaison de VPC d’interface pour AWS Glue
Vous pouvez créer un point de terminaison VPC pour le AWS Glue service à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour de plus amples informations, veuillez consulter [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) dans le *Guide de l’utilisateur Amazon VPC*.
Pour créer un point de terminaison de VPC pour AWS Glue, utilisez le nom de service suivant :
+ com.amazonaws. *region*.colle
Si vous activez le DNS privé pour le point de terminaison, vous pouvez faire des demandes d’API à AWS Glue en utilisant son nom DNS par défaut pour la région, par exemple `glue.us-east-1.amazonaws.com`.
Pour plus d’informations, consultez [Accès à un service via un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) dans le *Guide de l’utilisateur Amazon VPC*.
## Création d’une stratégie de point de terminaison d’un VPC pour AWS Glue
Vous pouvez attacher une stratégie de point de terminaison à votre point de terminaison d’un VPC qui contrôle l’accès à AWS Glue. La politique spécifie les informations suivantes :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, consultez [Contrôle de l’accès aux services avec points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.
**Exemple : politique du point de terminaison de VPC pour AWS Glue afin de permettre la création et la mise à jour de tâches**
Voici un exemple de stratégie de point de terminaison pour AWS Glue. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux actions AWS Glue répertoriées pour tous les principaux sur toutes les ressources.
```
{
"Statement": [
{
"Sid": "RestrictPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/GlueServiceRole*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "glue.amazonaws.com"
}
}
}
]
}
```
**Exemple : politique de point de terminaison d'un VPC autorisant l'accès au catalogue de données en lecture seule**
Voici un exemple de stratégie de point de terminaison pour AWS Glue. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux actions AWS Glue répertoriées pour tous les principaux sur toutes les ressources.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"glue:SearchTables"
],
"Resource": "*"
}
]
}
```
# Configuration d'Amazon partagé VPCs
AWS Glueprend en charge les clouds privés virtuels partagés (VPCs) dans Amazon Virtual Private Cloud. Le partage Amazon VPC permet à plusieurs AWS comptes de créer leurs ressources applicatives, telles que des EC2 instances Amazon et des bases de données ( Amazon Relational Database Service Amazon RDS), dans un Amazon partagé et géré de manière centralisée. VPCs Dans ce modèle, le compte propriétaire du VPC (propriétaire) partage un ou plusieurs sous-réseaux avec d'autres comptes (participants) appartenant à la même organisation. AWS Organizations Une fois un sous-réseau partagé, les participants peuvent afficher, créer, modifier et supprimer leurs ressources d'application contenues dans les sous-réseaux partagés avec eux.
Dans AWS Glue, pour créer une connexion avec un sous-réseau partagé, vous devez créer un groupe de sécurité au sein de votre compte et associer le groupe de sécurité au sous-réseau partagé.
Pour plus d’nformations, consultez les rubriques suivantes :
+ [Utilisation de Shared VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) dans le guide de l'*utilisateur Amazon VPC*
+ [Qu'est-ce que c'est AWS Organizations ?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) dans le *guide de AWS Organizations l'utilisateur*