Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concessione di politiche con ambito dinamico per l'esecuzione del lavoro
AWS Glue offre una nuova potente funzionalità: politiche di sessione dinamiche per l'esecuzione dei lavori. Questa funzionalità consente di specificare autorizzazioni personalizzate e granulari per ogni job eseguito senza creare più ruoli IAM.
Quando avvii un lavoro Glue utilizzando l'StartJobRunAPI, puoi includere una politica di sessione in linea. Questa policy modifica temporaneamente le autorizzazioni del ruolo di esecuzione del job per la durata di quella specifica esecuzione del job. È simile all'utilizzo di credenziali temporanee con l'AssumeRoleAPI in altri servizi. AWS
Sicurezza avanzata: puoi limitare le autorizzazioni di lavoro al minimo necessario per ogni esecuzione.
Gestione semplificata: elimina la necessità di creare e mantenere numerosi ruoli IAM per diversi scenari.
Flessibilità: è possibile regolare le autorizzazioni in modo dinamico in base ai parametri di runtime o alle esigenze specifiche del tenant.
Scalabilità: questo metodo eccelle negli ambienti multi-tenant in cui è necessario isolare le risorse tra i tenant.
Esempi per concedere l'utilizzo di policy con ambito dinamico:
Gli esempi seguenti mostrano come concedere ai job l'accesso in lettura e scrittura solo a un percorso di bucket Amazon S3 specifico, in cui il percorso è determinato dinamicamente dall'ID di esecuzione del processo. Questo illustra come implementare autorizzazioni granulari e specifiche per l'esecuzione di ogni processo.
Da CLI
aws glue start-job-run \ --job-name "your-job-name" \ --execution-role-session-policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::specific-bucket/${JobRunId}/*" ] } ] }'
