Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pemberian kebijakan cakupan dinamis untuk pelaksanaan pekerjaan
AWS Glue menawarkan kemampuan baru yang kuat: kebijakan sesi dinamis untuk eksekusi pekerjaan. Fitur ini memungkinkan Anda menentukan izin khusus dan berbutir halus untuk setiap pekerjaan yang dijalankan tanpa membuat beberapa peran IAM.
Saat memulai pekerjaan Glue menggunakan StartJobRun API, Anda dapat menyertakan kebijakan sesi inline. Kebijakan ini untuk sementara mengubah izin peran eksekusi pekerjaan selama durasi pekerjaan tertentu dijalankan. Ini mirip dengan menggunakan kredensi sementara dengan AssumeRole API di layanan lain AWS .
Keamanan yang ditingkatkan: Anda dapat membatasi izin pekerjaan seminimal mungkin yang diperlukan untuk setiap proses.
Manajemen yang disederhanakan: Menghilangkan kebutuhan untuk membuat dan mempertahankan banyak peran IAM untuk skenario yang berbeda.
Fleksibilitas: Anda dapat menyesuaikan izin secara dinamis berdasarkan parameter runtime atau kebutuhan khusus penyewa.
Skalabilitas: Metode ini unggul dalam lingkungan multi-penyewa di mana Anda perlu mengisolasi sumber daya antar penyewa.
Contoh untuk memberikan penggunaan kebijakan cakupan dinamis:
Contoh berikut menunjukkan pemberian akses baca dan tulis lowongan hanya ke jalur bucket Amazon S3 tertentu, di mana path ditentukan secara dinamis oleh ID job run. Ini menggambarkan bagaimana menerapkan izin khusus eksekusi yang terperinci untuk setiap pekerjaan yang dijalankan.
Dari CLI
aws glue start-job-run \ --job-name "your-job-name" \ --execution-role-session-policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::specific-bucket/${JobRunId}/*" ] } ] }'
