Guida introduttiva alla propagazione affidabile delle identità in ETL AWS Glue - AWS Glue
PrerequisitiAutorizzazioni necessarie per connettere AWS Glue ETL con IAM Identity CenterConnessione con AWS Glue IAM Identity CenterCreazione di una sessione AWS Glue interattiva con Trusted Identity Propagation abilitata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Guida introduttiva alla propagazione affidabile delle identità in ETL AWS Glue

Questa sezione aiuta a configurare AWS Glue l'applicazione con sessioni interattive per l'integrazione con IAM Identity Center e abilitare la propagazione delle identità affidabili.

Prerequisiti

  • Un'istanza di Identity Center nella AWS regione in cui si desidera creare sessioni AWS Glue interattive abilitate alla propagazione dell'identità affidabile. Un'istanza di Identity Center può esistere solo in una singola regione per un AWS account. Per ulteriori informazioni, consultare Abilita Centro identità IAM ed effettuare il provisioning di utenti e gruppi dall'origine delle identità nel Centro identità IAM.

  • Abilitare la propagazione attendibile delle identità per servizi downstream come Lake Formation o Amazon S3 Access Grants o il cluster Amazon Redshift con cui il carico di lavoro interattivo interagisce per accedere ai dati.

Autorizzazioni necessarie per connettere AWS Glue ETL con IAM Identity Center

Creazione di un ruolo IAM

Il ruolo che crea la connessione al Centro identità IAM richiede le autorizzazioni per creare e modificare la configurazione dell'applicazione in AWS Glue e nel Centro identità IAM, come indicato nella seguente policy in linea.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateGlueIdentityCenterConfiguration",
                "sso:CreateApplication",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAccessScope",
                "sso:ListInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Le seguenti policy in linea contengono autorizzazioni specifiche necessarie per visualizzare, aggiornare ed eliminare le proprietà di integrazione AWS Glue con il Centro identità IAM.

Utilizza la seguente policy in linea per consentire a un ruolo IAM di visualizzare un' AWS Glue integrazione con IAM Identity Center.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetGlueIdentityCenterConfiguration"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Utilizza la seguente policy in linea per consentire a un ruolo IAM di aggiornare AWS Glue l'integrazione con IAM Identity Center.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:UpdateGlueIdentityCenterConfiguration",
                "sso:PutApplicationAccessScope",
                "sso:DeleteApplicationAccessScope"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Utilizza la seguente policy in linea per consentire a un ruolo IAM di eliminare un' AWS Glue integrazione con IAM Identity Center.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:DeleteGlueIdentityCenterConfiguration",
                "sso:DeleteApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Descrizione delle autorizzazioni

  • glue:CreateGlueIdentityCenterConfiguration— Concede l'autorizzazione a creare la configurazione AWS Glue iDC.

  • glue:GetGlueIdentityCenterConfiguration: concede l'autorizzazione per ottenere una configurazione IdC esistente.

  • glue:DeleteGlueIdentityCenterConfiguration— Concede il permesso di eliminare una configurazione IdC esistente AWS Glue .

  • glue:UpdateGlueIdentityCenterConfiguration— Concede il permesso di aggiornare una configurazione IdC esistente AWS Glue .

  • sso:CreateApplication— Concede l'autorizzazione a creare un'applicazione IAM Identity AWS Glue Center gestita.

  • sso:DescribeApplication- Concede l'autorizzazione a descrivere un'applicazione IAM Identity Center AWS Glue gestita.

  • sso:DeleteApplication— Concede l'autorizzazione a eliminare un'applicazione IAM Identity Center AWS Glue gestita.

  • sso:UpdateApplication— Concede l'autorizzazione ad aggiornare un'applicazione IAM Identity Center AWS Glue gestita.

  • sso:PutApplicationGrant— Concede l'autorizzazione ad applicare token-exchange, IntrospectToken, RefreshToken e concessioni sull'applicazione iDC. RevokeToken

  • sso:PutApplicationAuthenticationMethod— Concede l'autorizzazione a inserire AuthenticationMethod sull'applicazione iDC AWS Glue gestita che consente al responsabile del servizio di interagire con l'applicazione iDC. AWS Glue

  • sso:PutApplicationAccessScope— Concede l'autorizzazione ad aggiungere o aggiornare l'elenco degli ambiti di servizio downstream autorizzati sull'applicazione iDC gestita. AWS Glue

  • sso:DeleteApplicationAccessScope- Concede l'autorizzazione a eliminare gli ambiti a valle se viene rimosso un ambito per l'applicazione iDC gestita. AWS Glue

  • sso:PutApplicationAssignmentConfiguration— Concede l'autorizzazione a impostare l'impostazione «User-assignment-not-required» sull'applicazione iDC.

  • sso:ListInstances— Concede il permesso di elencare le istanze e convalidare l'iDC InstanceArn specificato nel parametro. identity-center-configuration

Connessione con AWS Glue IAM Identity Center

Quando AWS Glue è connesso a IAM Identity Center, crea un'applicazione iDC gestita singleton per account. L'esempio seguente mostra come è possibile connettersi a IAM Identity AWS Glue Center:

aws glue create-glue-identity-center-configuration \
--instance-arn arn:aws:sso:::instance/ssoins-123456789 \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'

Per aggiornare gli ambiti dell'applicazione gestita (in genere eseguita per propagarsi a più servizi downstream), è possibile utilizzare:

aws glue update-glue-identity-center-configuration \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'

Il parametro Ambiti è facoltativo e tutti gli ambiti verranno aggiunti se non vengono forniti. I valori supportati sono s3:access_grants:read_write, redshift:connect e lakeformation:query.

Per ottenere i dettagli della configurazione, è possibile usare:

aws glue get-glue-identity-center-configuration

Puoi eliminare la connessione tra AWS Glue e IAM Identity Center utilizzando il seguente comando:

aws glue delete-glue-identity-center-configuration
Nota

AWS Glue crea un'applicazione Identity Center gestita dal servizio nel tuo account che il servizio sfrutta per la convalida dell'identità e la propagazione dell'identità ai servizi downstream. AWS Glue l'applicazione Identity Center gestita creata viene condivisa tra tutte le trusted-identity-propagation sessioni dell'account.

Avviso: non modificare manualmente le impostazioni sull'applicazione gestita del Centro identità. Qualsiasi modifica potrebbe influire su tutte le sessioni AWS Glue interattive trusted-identity-propagation abilitate nel tuo account.

Creazione di una sessione AWS Glue interattiva con Trusted Identity Propagation abilitata

Dopo esserti connesso a IAM Identity Center, puoi utilizzare le credenziali di ruolo AWS Glue con identità avanzata per creare una sessione interattiva. AWS Glue Non è necessario passare parametri aggiuntivi durante la creazione di una sessione 5.0. AWS Glue Poiché AWS Glue è connesso a IAM Identity Center, se viene AWS Glue rilevato identity-enhanced-role-credentials, propagherà automaticamente le informazioni sull'identità ai servizi a valle che vengono richiamati come parte delle istruzioni. Tuttavia, il ruolo di runtime per la sessione deve disporre dell'autorizzazione sts:SetContext, come illustrato di seguito.

Autorizzazioni di ruolo di runtime per propagare l'identità

Poiché AWS Glue le sessioni sfruttano le credenziali potenziate dall'identità per propagare l'identità ai AWS servizi downstream, la policy di fiducia del ruolo di runtime deve disporre di autorizzazioni sts:SetContext aggiuntive per consentire la propagazione dell'identità ai servizi downstream (Amazon S3 access-grant, Lake Formation, Amazon Redshift). Per ulteriori informazioni su come creare un ruolo di runtime, consulta Configurazione di un ruolo di runtime.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "glue.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
      ]
    }
  ]
}

Inoltre, il ruolo Runtime richiederebbe le autorizzazioni per i servizi downstream che job-run richiamerebbe per recuperare i dati utilizzando l'identità dell'utente. AWS Fare riferimento ai seguenti link per configurare Amazon S3 Access Grants e Lake Formation: