Commencer à utiliser la propagation fiable des identités dans l' AWS Glue ETL - AWS Glue
Conditions préalablesAutorisations nécessaires pour connecter l' AWS Glue ETL à IAM Identity CenterConnexion AWS Glue à IAM Identity CenterCréation d'une session AWS Glue interactive avec activation de la propagation d'identité sécurisée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencer à utiliser la propagation fiable des identités dans l' AWS Glue ETL

Cette section vous aide à configurer AWS Glue l'application avec des sessions interactives afin de l'intégrer à IAM Identity Center et de permettre la propagation d'identités fiables.

Conditions préalables

  • Une instance d'Identity Center située dans la AWS région où vous souhaitez créer des sessions AWS Glue interactives activées par la propagation d'identités fiables. Une instance d'Identity Center ne peut exister que dans une seule région pour un AWS compte. Pour plus d’informations, consultez Enable IAM Identity Center et Provision the users and groups from your source of identities into IAM Identity Center.

  • Activez la propagation d’identité fiable pour les services en aval tels que Lake Formation ou les autorisations d’accès Amazon S3 ou le cluster Amazon Redshift avec lequel une charge de travail interactive interagit pour accéder aux données.

Autorisations nécessaires pour connecter l' AWS Glue ETL à IAM Identity Center

Créer un rôle IAM

Le rôle qui crée la connexion à IAM Identity Center nécessite des autorisations pour créer et modifier la configuration de l’application dans AWS Glue et IAM Identity Center, conformément à la politique en ligne suivante.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateGlueIdentityCenterConfiguration",
                "sso:CreateApplication",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAccessScope",
                "sso:ListInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Les politiques en ligne suivantes contiennent des autorisations spécifiques requises pour afficher, mettre à jour et supprimer les propriétés d’intégration d’ AWS Glue avec IAM Identity Center.

Utilisez la politique intégrée suivante pour autoriser un rôle IAM à visualiser une AWS Glue intégration avec IAM Identity Center.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetGlueIdentityCenterConfiguration"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Utilisez la politique intégrée suivante pour autoriser un rôle IAM à mettre à jour AWS Glue l'intégration avec IAM Identity Center.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:UpdateGlueIdentityCenterConfiguration",
                "sso:PutApplicationAccessScope",
                "sso:DeleteApplicationAccessScope"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Utilisez la politique intégrée suivante pour autoriser un rôle IAM à supprimer une AWS Glue intégration avec IAM Identity Center.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:DeleteGlueIdentityCenterConfiguration",
                "sso:DeleteApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Description des autorisations

  • glue:CreateGlueIdentityCenterConfiguration— Accorde l'autorisation de créer la configuration AWS Glue iDC.

  • glue:GetGlueIdentityCenterConfiguration : octroie l’autorisation d’obtenir une configurations IdC existante.

  • glue:DeleteGlueIdentityCenterConfiguration— Accorde l'autorisation de supprimer une configuration AWS Glue iDC existante.

  • glue:UpdateGlueIdentityCenterConfiguration— Autorise la mise à jour d'une configuration AWS Glue iDC existante.

  • sso:CreateApplication— Accorde l'autorisation de créer une application IAM Identity Center AWS Glue gérée.

  • sso:DescribeApplication- Accorde l'autorisation de décrire une application IAM Identity Center AWS Glue gérée.

  • sso:DeleteApplication— Accorde l'autorisation de supprimer une application IAM Identity Center AWS Glue gérée.

  • sso:UpdateApplication— Autorise la mise à jour d'une application IAM Identity Center AWS Glue gérée.

  • sso:PutApplicationGrant— Accorde l'autorisation d'appliquer l'échange de jetons, IntrospectToken, RefreshToken et des subventions sur l'application iDC. RevokeToken

  • sso:PutApplicationAuthenticationMethod— Accorde l'autorisation de mettre AuthenticationMethod sur une application iDC AWS Glue gérée qui permet au principal de AWS Glue service d'interagir avec l'application iDC.

  • sso:PutApplicationAccessScope— Autorise l'ajout ou la mise à jour de la liste des étendues de service en aval autorisées sur l'application iDC AWS Glue gérée.

  • sso:DeleteApplicationAccessScope- Accorde l'autorisation de supprimer des étendues en aval si une étendue est supprimée pour l'application iDC AWS Glue gérée.

  • sso:PutApplicationAssignmentConfiguration— Accorde l'autorisation de définir le paramètre « U ser-assignment-not-required » sur l'application iDC.

  • sso:ListInstances— Accorde l'autorisation de répertorier les instances et de valider l'IDC InstanceArn que vous spécifiez en identity-center-configuration paramètre.

Connexion AWS Glue à IAM Identity Center

Lorsqu'il AWS Glue est connecté à IAM Identity Center, il crée une application iDC gérée par un singleton par compte. L'exemple suivant montre comment vous connecter AWS Glue à IAM Identity Center :

aws glue create-glue-identity-center-configuration \
--instance-arn arn:aws:sso:::instance/ssoins-123456789 \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'

Pour mettre à jour les portées de l’application gérée (généralement pour se propager à un plus grand nombre de services en aval), vous pouvez utiliser :

aws glue update-glue-identity-center-configuration \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'

Le paramètre Portées est facultatif et toutes les portées seront ajoutées s’il n’est pas fourni. Les valeurs prises en charge sont s3:access_grants:read_write, redshift:connect et lakeformation:query.

Pour obtenir les détails de la configuration, vous pouvez utiliser :

aws glue get-glue-identity-center-configuration

Vous pouvez supprimer la connexion entre AWS Glue IAM Identity Center à l'aide de la commande suivante :

aws glue delete-glue-identity-center-configuration
Note

AWS Glue crée une application Identity Center gérée par un service dans votre compte que le service utilise pour les validations d'identité et la propagation des identités vers les services en aval. AWS Glue L'application Identity Center gérée créée est partagée entre toutes les trusted-identity-propagation sessions de votre compte.

Avertissement : ne modifiez pas manuellement les paramètres de l’application Identity Center gérée. Toute modification peut affecter toutes les sessions AWS Glue interactives trusted-identity-propagation activées dans votre compte.

Création d'une session AWS Glue interactive avec activation de la propagation d'identité sécurisée

Une fois connecté AWS Glue à IAM Identity Center, vous pouvez utiliser les informations d'identification de rôle améliorées pour créer une AWS Glue session interactive. Il n'est pas nécessaire de transmettre des paramètres supplémentaires lors de la création d'une AWS Glue session 5.0. Comme il AWS Glue est connecté au centre d'identité IAM, s'il est AWS Glue détecté identity-enhanced-role-credentials, il propagera automatiquement les informations d'identité aux services en aval appelés dans le cadre de vos déclarations. Cependant, le rôle d’exécution de la session doit disposer de l’autorisation sts:SetContext, comme décrit ci-dessous.

Autorisations du rôle d’exécution pour propager l’identité

Comme les AWS Glue sessions utilisent les informations d'identification améliorées par Identity pour propager l'identité aux AWS services en aval, la politique de confiance associée à son rôle d'exécution doit disposer d'une autorisation supplémentaire pour permettre la propagation de l'identité sts:SetContext vers les services en aval (Amazon S3 access-grant, Lake Formation, Amazon Redshift). Pour en savoir plus sur la création d’un rôle d’exécution, consultez Setting up a runtime role.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "glue.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
      ]
    }
  ]
}

De plus, le rôle Runtime aurait besoin d'autorisations pour les AWS services en aval que job-run invoquerait pour récupérer des données en utilisant l'identité de l'utilisateur. Veuillez consulter les liens suivants pour configurer les autorisations d’accès Amazon S3 et Lake Formation :