Configurazione degli endpoint VPC (AWS PrivateLink) per AWS Glue (AWS PrivateLink) - AWS Glue
Considerazioni sugli endpoint VPC dell'AWS GlueCreazione di un endpoint VPC interfaccia per l'AWS GlueCreazione di una policy di endpoint VPC per l'AWS Glue

Configurazione degli endpoint VPC (AWS PrivateLink) per AWS Glue (AWS PrivateLink)

È possibile stabilire una connessione privata tra VPC e AWS Glue creando un endpoint VPC dell'interfaccia. Gli endpoint dell'interfaccia sono basati su AWS PrivateLink, una tecnologia che consente di accedere privatamente alle API AWS Glue senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione AWS Direct Connect. Le istanze presenti nel VPC non richiedono indirizzi IP pubblici per comunicare con le API dell'AWS Glue. Il traffico tra il tuo VPC e l'AWS Glue non esce dalla rete Amazon.

Ogni endpoint dell'interfaccia è rappresentato da una o più interfacce di rete elastiche nelle sottoreti.

Per ulteriori informazioni, consultare Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Considerazioni sugli endpoint VPC dell'AWS Glue

Prima di impostare un endpoint VPC dell'interfaccia per l'AWS Glue, assicurati di leggere le Proprietà e le limitazioni degli endpoint dell'interfaccia nella Guida per l'utente di Amazon VPC.

L'AWS Glue supporta l'esecuzione di chiamate per tutte le sue operazioni API all'interno del VPC.

Creazione di un endpoint VPC interfaccia per l'AWS Glue

È possibile creare un endpoint VPC per il servizio dell'AWS Glue utilizzando la console Amazon VPC o il AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consultare Creazione di un endpoint di interfaccia nella Guida per l'utente di Amazon VPC.

Crea un endpoint VPC per AWS Glue, utilizzando il seguente nome di servizio:

  • com.amazonaws.region.glue

Se si abilita il DNS privato per l'endpoint, è possibile effettuare richieste API verso AWS Glueutilizzando il nome DNS predefinito per la regione, ad esempio glue.us-east-1.amazonaws.com.

Per ulteriori informazioni, consultare Accesso a un servizio tramite un endpoint di interfaccia in Guida per l'utente di Amazon VPC.

Creazione di una policy di endpoint VPC per l'AWS Glue

È possibile allegare un criterio all'endpoint VPC che controlla l'accesso all'AWS Glue. La policy specifica le informazioni riportate di seguito:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire operazioni.

Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.

Ad esempio, policy di endpoint VPC affinché AWS Glue permetta la creazione e l'aggiornamento del processo

Di seguito è riportato un esempio di una policy endpoint per l'AWS Glue. Se collegato a un endpoint, questo criterio concede l'accesso alle operazioni elencate AWS Glue per tutti i principali su tutte le risorse.

{
  "Statement": [
    {
      "Sid": "RestrictPassRole",
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/GlueServiceRole*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "glue.amazonaws.com"
        }
      }
    }
  ]
}
Esempio: policy di endpoint VPC per permettere l'accesso in sola lettura al catalogo dati

Di seguito è riportato un esempio di una policy endpoint per l'AWS Glue. Se collegato a un endpoint, questo criterio concede l'accesso alle operazioni dell'AWS Glueelencate per tutti gli account principali su tutte le risorse.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabase",
        "glue:GetDatabases",
        "glue:GetTable",
        "glue:GetTables",
        "glue:GetTableVersion",
        "glue:GetTableVersions",
        "glue:GetPartition",
        "glue:GetPartitions",
        "glue:BatchGetPartition",
        "glue:SearchTables"
      ],
      "Resource": "*"
    }
  ]
}