Propagazione attendibile delle identità con AWS Glue ETL - AWS Glue
PanoramicaFunzionalità e vantaggiCasi d'usoCome funzionaIntegrazioni

Propagazione attendibile delle identità con AWS Glue ETL

Con il Centro identità IAM, è possibile connettersi ai gestori dell'identità digitale (IDP) e gestire centralmente l'accesso per utenti e gruppi nei servizi di analisi di AWS. È possibile integrare gestori di identità digitali come Okta, Ping e Microsoft Entra ID (in precedenza Azure Active Directory) con il Centro identità IAM per consentire agli utenti nell'organizzazione di accedere ai dati utilizzando un'esperienza di accesso singolo. Il Centro identità IAM supporta anche la connessione con altri gestori dell'identità digitali di terze parti.

Con AWS Glue 5.0 e versioni successive, è possibile propagare le identità degli utenti dal Centro identità IAM alle sessioni interattive AWS Glue. AWS Glue Le sessioni interattive propagheranno ulteriormente l'identità fornita a servizi downstream come Amazon S3 Access Grants, AWS Lake Formation e Amazon Redshift, consentendo l'accesso sicuro ai dati tramite l'identità utente in questi servizi downstream.

Panoramica

Il Centro identità è l'approccio consigliato per l'autenticazione e l'autorizzazione della forza lavoro su AWS per le organizzazioni di qualsiasi dimensione e tipo. Con il Centro identità, puoi creare e gestire identità utente in AWS o connettere l'origine della tua identità esistente, tra cui Microsoft Active Directory, Okta, Ping Identity, JumpCloud, Google Workspace e Microsoft Entra ID (precedentemente Azure AD).

La propagazione attendibile delle identità è una funzionalità del Centro identità IAM che gli amministratori dei servizi AWS connessi possono utilizzare per concedere e controllare l'accesso ai dati dei servizi. L'accesso a questi dati si basa su attributi utente come le associazioni di gruppo. La configurazione della propagazione attendibile delle identità richiede la collaborazione tra gli amministratori dei servizi AWS connessi e gli amministratori del Centro identità IAM.

Funzionalità e vantaggi

L'integrazione delle sessioni interattive AWS Glue con la propagazione attendibile delle identità del Centro identità IAM fornisce i seguenti vantaggi:

  • La capacità di applicare l'autorizzazione a livello di tabella e il controllo granulare degli accessi con le identità del Centro identità sulle tabelle del catalogo dati gestite da AWS Glue di Lake Formation.

  • La capacità di applicare l'autorizzazione con le identità del Centro identità sui cluster Amazon Redshift.

  • Consente il monitoraggio completo delle azioni degli utenti per il controllo.

  • La capacità di applicare l'autorizzazione a livello di prefisso di Amazon S3 con le identità del Centro identità sui prefissi Amazon S3 gestiti da Amazon S3 Access Grants.

Casi d'uso

Esplorazione e analisi interattive dei dati

Gli scienziati dei dati utilizzano le proprie identità aziendali per accedere e analizzare senza problemi i dati su più account AWS. Tramite SageMaker Studio, lanciano sessioni Spark interattive tramite AWS Glue ETL, collegandosi a varie origini dati tra cui Amazon S3 e il catalogo dati AWS Glue. Mentre gli ingegneri esplorano i set di dati, Spark applica controlli granulari degli accessi definiti in Lake Formation in base alle loro identità, assicurando che possano visualizzare solo i dati autorizzati. Tutte le query e le trasformazioni dei dati vengono registrate con l'identità dell'utente, creando un audit trail chiaro. Questo approccio semplificato consente la prototipazione rapida di nuovi prodotti di analisi, mantenendo al contempo una rigorosa governance dei dati in tutti gli ambienti client.

Preparazione dei dati e ingegneria delle caratteristiche

Gli scienziati dei dati di diversi team di ricerca collaborano su progetti complessi utilizzando una piattaforma di dati unificata. Effettuano l'accesso a SageMaker Studio con le proprie credenziali aziendali, accedendo immediatamente a un vasto data lake condiviso che si estende su più account AWS. Quando iniziano a progettare nuove caratteristiche per nuovi modelli di machine learning, le sessioni Spark lanciate tramite AWS Glue ETL applicano le policy di sicurezza a livello di colonne e righe di Lake Formation basate sulle loro identità propagate. Gli scienziati possono preparare in modo efficiente i dati e progettare le funzionalità utilizzando strumenti familiari, mentre i team addetti alla conformità hanno la certezza che ogni interazione con i dati venga tracciata e verificata automaticamente. Questo ambiente sicuro e collaborativo accelera le pipeline di ricerca mantenendo al contempo i rigorosi standard di protezione dei dati richiesti nei settori regolamentati.

Come funziona

Diagramma di architettura che mostra il flusso di lavoro delle sessioni interattive AWS Glue. Un utente accede alle applicazioni rivolte ai client (SageMaker Unified Studio o applicazioni personalizzate) tramite il Centro identità IAM. L'identità dell'utente viene propagata alle sessioni interattive di AWS Glue, che si connette ai servizi di controllo degli accessi tra cui il Centro identità IAM, AWS Lake Formation, catalogo dati di AWS Glue e Amazon S3 Access Grants, prima di accedere infine a S3 Storage.

Un utente accede alle applicazioni rivolte ai client (SageMaker AI o applicazioni personalizzate) usando la propria identità aziendale attraverso il Centro identità IAM. Questa identità viene quindi propagata attraverso l'intera pipeline di accesso ai dati.

L'utente autenticato avvia le sessioni interattive di AWS AWS Glue, che fungono da motore di calcolo per l'elaborazione dei dati. Queste sessioni mantengono il contesto dell'identità dell'utente durante tutto il flusso di lavoro.

AWS Lake Formation e il catalogo dati di AWS Glue collaborano per applicare controlli granulari degli accessi. Lake Formation applica policy di sicurezza basate sull'identità propagata dell'utente, mentre Amazon S3 Access Grants fornisce livelli di autorizzazione aggiuntivi, garantendo agli utenti di accedere solo ai dati che sono autorizzati a visualizzare.

Infine, il sistema si connette ad Amazon S3 Storage dove risiedono i dati effettivi. Tutti gli accessi sono regolati dalle policy di sicurezza combinate, che mantengono la governance dei dati e consentono l'esplorazione e l'analisi interattive dei dati. Questa architettura consente un accesso sicuro e basato sull'identità ai dati su più servizi AWS, mantenendo al contempo un'esperienza utente senza interruzioni per gli scienziati dei dati che lavorano con set di dati di grandi dimensioni.

Integrazioni

Ambiente di sviluppo gestito da AWS

Le seguenti applicazioni rivolte ai clienti gestite da AWS supportano la propagazione attendibile delle identità con le sessioni interattive di AWS Glue:

Sagemaker Unified Studio

Per utilizzare la propagazione attendibile delle identità con Sagemaker Unified Studio:

  1. Configurare il progetto Sagemaker Unified Studio con la propagazione attendibile delle identità abilitata come ambiente di sviluppo rivolto al cliente.

  2. Configurare Lake Formation per abilitare il controllo granulare degli accessi per le tabelle di AWS Glue in base all'utente o al gruppo nel Centro identità IAM.

  3. Configurare Amazon S3 Access Grants per consentire l'accesso temporaneo alle posizioni dei dati sottostanti in Amazon S3.

  4. Aprire lo spazio IDE JupyterLab di Sagemaker Unified Studio e selezionare AWS Glue come elaborazione per l'esecuzione su notebook.

Ambiente del notebook ospitato autonomamente e gestito dal cliente

Per abilitare la propagazione attendibile delle identità per gli utenti di applicazioni sviluppate su misura, consultare Accedi ai servizi AWS usando la propagazione attendibile delle identità in AWS Security Blog.