Concessione di policy con ambito dinamico per l'esecuzione dei processi
AWS Glue offre una nuova potente funzionalità: policy di sessione dinamiche per l'esecuzione dei processi. Questa funzionalità consente di specificare autorizzazioni personalizzate e granulari per ogni processo eseguito senza creare ruoli IAM multipli.
Quando avvii un processo Glue usando l'API StartJobRun, puoi includere una policy di sessione inline. Questa policy modifica temporaneamente le autorizzazioni del ruolo di esecuzione del processo per la durata dell'esecuzione di quello specifico processo. È simile all'uso di credenziali temporanee con l'API AssumeRole in altri servizi AWS.
Sicurezza avanzata: puoi limitare le autorizzazioni del processo al minimo necessario per ogni esecuzione.
Gestione semplificata: elimina la necessità di creare e gestire numerosi ruoli IAM per diversi scenari.
Flessibilità: puoi regolare le autorizzazioni in modo dinamico in base ai parametri di runtime o alle specifiche esigenze del tenant.
Scalabilità: questo metodo è perfetto negli ambienti multi-tenant in cui è necessario isolare le risorse tra i tenant.
Esempi per concedere l'uso di policy con ambito dinamico:
Gli esempi seguenti mostrano come concedere ai processi l'accesso in sola lettura e scrittura a uno specifico percorso di bucket Amazon S3, dove il percorso è determinato dinamicamente dall'ID di esecuzione del processo. Illustra come implementare autorizzazioni granulari e specifiche per l'esecuzione di ogni processo.
Dalla CLI
aws glue start-job-run \ --job-name "your-job-name" \ --execution-role-session-policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::specific-bucket/${JobRunId}/*" ] } ] }'
