# Conceder políticas com escopo dinâmico para execução de trabalhos O AWS Glue oferece um novo recurso poderoso: políticas de sessão dinâmicas para execução de trabalhos. Esse recurso permite que você especifique permissões personalizadas e refinadas para cada execução de trabalho sem criar vários perfis do IAM. Ao iniciar um trabalho do Glue usando a API `StartJobRun`, você pode incluir uma política de sessão em linha. Essa política modifica temporariamente as permissões do perfil de execução do trabalho durante a execução desse trabalho específico. Isso é semelhante ao uso de credenciais temporárias com a API `AssumeRole` em outros serviços da AWS. + **Segurança aprimorada**: é possível limitar as permissões de trabalho ao mínimo necessário para cada execução. + **Gerenciamento simplificado**: elimina a necessidade de criar e manter vários perfis do IAM para diferentes cenários. + **Flexibilidade**: é possível ajustar as permissões dinamicamente com base nos parâmetros de tempo de execução ou nas necessidades específicas do locatário. + **Escalabilidade**: esse método é excelente em ambientes multilocatários em que é necessário isolar os recursos entre os locatários. **Exemplos para conceder o uso de políticas com escopo dinâmico:** Os exemplos a seguir demonstram a concessão de acesso de *leitura* e *gravação* aos trabalhos somente para um caminho específico do bucket do Amazon S3, em que o caminho é determinado dinamicamente pelo ID de execução do trabalho. Isso ilustra como implementar permissões granulares e específicas de execução para cada execução de trabalho. **Da CLI** ``` aws glue start-job-run \ --job-name "your-job-name" \ --execution-role-session-policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::specific-bucket/${JobRunId}/*" ] } ] }' ```