Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione delle autorizzazioni IAM per accedere alle origini dati (per amministratori)
Gli amministratori devono assicurarsi che il ruolo di esecuzione utilizzato dalle JupyterLab applicazioni disponga delle autorizzazioni AWS IAM necessarie per accedere ai dati tramite le connessioni configurate. AWS Glue
-
Connessioni create dagli amministratori utilizzando AWS CLI: Per visualizzare le AWS Glue connessioni create dagli amministratori e accedere ai relativi dati, gli utenti devono fare in modo che l'amministratore associ autorizzazioni specifiche al ruolo di esecuzione SageMaker AI utilizzato dalla loro applicazione in Studio. JupyterLab Ciò include l'accesso a AWS Glue Secrets Manager e le autorizzazioni specifiche del database. Le connessioni create dagli amministratori sono visibili a tutte le applicazioni che condividono il ruolo di esecuzione che dispone delle autorizzazioni per visualizzare specifici cataloghi o database AWS Glue. Per ulteriori informazioni sull’elenco delle autorizzazioni richieste per tipo di origine dati, consulta le autorizzazioni per le connessioni definite dall’amministratore in Autorizzazioni IAM richieste dalle connessioni definite dall’amministratore.
-
Verranno elencate anche le connessioni create dagli utenti che utilizzano l'interfaccia utente dell'estensione SQL in JupyterLab: Le connessioni create da profili utente che condividono lo stesso ruolo di esecuzione, a meno che la visibilità delle relative connessioni non sia limitata solo a quelle create dall'utente. Le connessioni create dagli utenti sono taggate con il profilo utente che le ha create. Per limitare la possibilità di visualizzare, aggiornare o eliminare le connessioni create dall’utente solo all’utente che le ha create, gli amministratori possono aggiungere ulteriori restrizioni di controllo degli accessi basate su tag alle autorizzazioni IAM del ruolo di esecuzione. Per ulteriori informazioni sull’ulteriore controllo degli accessi basato su tag richiesto, consulta Autorizzazioni IAM richieste dalle connessioni definite dall’utente.
Autorizzazioni IAM richieste dalle connessioni definite dall’amministratore
Per concedere al ruolo di esecuzione SageMaker AI utilizzato dalla tua JupyterLab applicazione in Studio l'accesso a un'origine dati tramite una AWS Glue connessione, collega la seguente policy in linea al ruolo.
Per visualizzare le autorizzazioni specifiche e i dettagli delle policy per ogni origine dati o metodo di autenticazione, scegli il tipo di connessione pertinente riportato di seguito.
Nota
Ti consigliamo di limitare le autorizzazioni della policy solo alle risorse e alle azioni richieste.
Per definire i criteri e concedere l'accesso con il minimo privilegio, sostituisci i caratteri jolly "Resource": ["*"] nella tua policy con quelli specifici ARNs per le risorse che necessitano di accesso. Per ulteriori informazioni su come controllare l’accesso alle risorse, consulta Ottimizza l'accesso alle AWS risorse con autorizzazioni ARN granulari.
Nota
Consigliamo vivamente di limitare questa policy solo alle azioni e alle risorse necessarie.
Nota
Consigliamo vivamente di limitare questa policy solo alle risorse necessarie.
Per ulteriori informazioni, consulta Esempi di policy di autorizzazione IAM nella documentazione di Athena.
Nota
Consigliamo vivamente di limitare questa policy solo alle risorse necessarie.
Nota
Consigliamo vivamente di limitare questa policy solo alle risorse necessarie.
Nota
Consigliamo vivamente di limitare questa policy solo alle risorse necessarie.
Autorizzazioni IAM richieste dalle connessioni definite dall’utente
Le autorizzazioni della policy IAM per un utente possono tenere conto della presenza del UserProfile tag sulle AWS Glue risorse di connessione.
-
Per visualizzare le AWS Glue connessioni:
-
Gli utenti possono visualizzare tutte le connessioni senza tag
UserProfile(creato da un amministratore). -
Gli utenti possono visualizzare le connessioni con il tag
UserProfileche ha lo stesso valore del nome del loro profilo utente. -
Gli utenti non possono visualizzare le connessioni con il tag
UserProfileche non ha lo stesso valore del nome del loro profilo utente.
-
-
Per aggiornare o eliminare AWS Glue le connessioni:
-
Gli utenti possono aggiornare o eliminare una connessione con il tag
UserProfileche ha lo stesso valore del nome del loro profilo utente. -
Gli utenti non possono aggiornare o eliminare una connessione con il tag
UserProfileche non ha lo stesso valore del nome del loro profilo utente. -
Gli utenti non possono aggiornare o eliminare le connessioni senza tag
UserProfile.
-
A tal fine, gli amministratori devono concedere al ruolo di esecuzione utilizzato dall' JupyterLab applicazione del profilo utente autorizzazioni aggiuntive oltre alle autorizzazioni di connessione esistenti definite dall'amministratore. In particolare, oltre alle autorizzazioni necessarie per accedere alle AWS Glue connessioni definite dall'amministratore, al ruolo di esecuzione dell'utente devono essere concesse le seguenti due autorizzazioni IAM aggiuntive:
-
Autorizzazione a creare AWS Glue connessioni e associare il
UserProfiletag al valore del nome del profilo dell'utente. -
Autorizzazione a visualizzare, aggiornare ed eliminare AWS Glue le connessioni il cui
UserProfiletag corrisponde al nome del profilo dell'utente.
Questa autorizzazione limita l'accesso alle AWS Glue connessioni in base al valore del tag specifico del profilo utente. Aggiorna il valore del tag UserProfile con il nome del profilo dell’utente scelto come destinazione.
"Action": [ "glue:GetConnection", "glue:GetConnections" ], "Resource": [ "arn:aws:glue:region:account_id:connection/*" ], "Condition": { "StringEqualsIfExists": { "aws:ResourceTag/UserProfile": "user_profile_name" } }
Questa autorizzazione limita la possibilità di creare, aggiornare ed eliminare connessioni create dall’utente solo alle connessioni create dal profilo utente con il valore del tag UserProfile specificato.
"Action": [ "glue:DeleteConnection", "glue:UpdateConnection", "glue:CreateConnection", "glue:TagResource" ], "Resource": [ "arn:aws:glue:region:account_id:connection/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/UserProfile": "user_profile" } }
Ottimizza l'accesso alle AWS risorse con autorizzazioni ARN granulari
Per un controllo più preciso sull'accesso alle tue AWS risorse, sostituisci la risorsa wildcard "Resource": ["*"] nelle tue politiche con gli specifici Amazon Resource Names (ARNs) delle sole risorse che richiedono l'accesso. L'uso della carta esatta ARNs anziché di una jolly limita l'accesso alle risorse previste.
-
Usa un bucket Amazon S3 specifico ARNs
Ad esempio,
"arn:aws:s3:::bucket-name"o"arn:aws:s3:::bucket-name/*"per operazioni a livello di bucket o a livello di oggetto.Per informazioni su tutti i tipi di risorse in Amazon S3, consulta Tipi di risorse definiti da Amazon S3.
-
Usa un database specifico AWS Glue ARNs
Ad esempio:
"arn:aws:glue:region:account-id:catalog"o"arn:aws:glue:region:account-id:database/db-name". Per informazioni su tutti i tipi di risorse inAWS Glue, vedere Tipi di risorse definiti da AWS Glue. -
Usa un gruppo di lavoro Athena specifico ARNs
Ad esempio,
"arn:aws:athena:region:account-id:workgroup/workgroup-name". Per informazioni su tutti i tipi di risorse, consulta Tipi di risorse definiti da Athena. -
Usa un segreto specifico di AWS Secrets Manager ARNs
Ad esempio,
"arn:aws:secretsmanager:region:account-id:secret:secret-name". Per informazioni su tutti i tipi di risorse in AWS Secrets Manager, vedere Tipi di risorse definiti da AWS Secrets Manager -
Usa un cluster Amazon Redshift specifico ARNs
Ad esempio,
"arn:aws:redshift:region:account-id:cluster:cluster-name". Per informazioni sui tipi di risorse in Amazon Redshift, consulta Tipi di risorse definiti da Amazon Redshift. Per informazioni su tutti i tipi di risorse in Redshift Serverless, consulta Tipi di risorse definiti da Redshift serverless.
