Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concessione di policy con ambito dinamico per l'esecuzione dei processi
AWS Glue offre una nuova potente funzionalità: politiche di sessione dinamiche per l'esecuzione dei lavori. Questa funzionalità consente di specificare autorizzazioni personalizzate e granulari per ogni processo eseguito senza creare ruoli IAM multipli.
Quando avvii un processo Glue usando l'API StartJobRun, puoi includere una policy di sessione inline. Questa policy modifica temporaneamente le autorizzazioni del ruolo di esecuzione del processo per la durata dell'esecuzione di quello specifico processo. È simile all'utilizzo di credenziali temporanee con l'AssumeRoleAPI in altri AWS servizi.
Sicurezza avanzata: puoi limitare le autorizzazioni del processo al minimo necessario per ogni esecuzione.
Gestione semplificata: elimina la necessità di creare e gestire numerosi ruoli IAM per diversi scenari.
Flessibilità: puoi regolare le autorizzazioni in modo dinamico in base ai parametri di runtime o alle specifiche esigenze del tenant.
Scalabilità: questo metodo è perfetto negli ambienti multi-tenant in cui è necessario isolare le risorse tra i tenant.
Esempi per concedere l'uso di policy con ambito dinamico:
Gli esempi seguenti mostrano come concedere ai processi l'accesso in sola lettura e scrittura a uno specifico percorso di bucket Amazon S3, dove il percorso è determinato dinamicamente dall'ID di esecuzione del processo. Illustra come implementare autorizzazioni granulari e specifiche per l'esecuzione di ogni processo.
Dalla CLI
aws glue start-job-run \ --job-name "your-job-name" \ --execution-role-session-policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::specific-bucket/${JobRunId}/*" ] } ] }'
