View a markdown version of this page

Considerações e limitações da integração da propagação de identidade confiável de ETL do AWS Glue - AWS Glue

Considerações e limitações da integração da propagação de identidade confiável de ETL do AWS Glue

Importante

Por padrão, as sessões não são privadas, o que significa que um usuário do IdC pode acessar a sessão de outro usuário do IdC. Você pode usar tagOnCreate para tornar suas sessões privadas. Por exemplo, a sessão pode ser marcada com uma tag do proprietário e seu valor como o ID de usuário do IDC. Em seguida, na política, é possível usar uma chave de condição global, como identitystore:UserId, para validar em comparação à tag do proprietário na política de perfil de entidade principal/runtime do cliente para todas as operações da API da sessão a fim de garantir que um usuário do IdC não possa acessar a sessão de outro usuário do iDC.

Considere os seguintes pontos ao usar a Propagação de identidade confiável do Centro de Identidade do IAM com a aplicação AWS Glue:

  • A propagação de identidade confiável por meio do Centro de Identidade é compatível com o AWS Glue 5.0 e versões superiores, bem como somente por meio de sessões interativas do AWS Glue.

  • O catálogo de dados do AWS Glue é abordado na integração do Centro de Identidade do Lake Formation.

  • A Propagação de identidade confiável é limitada a sessões interativas no AWS Glue, excluindo outras entidades de processamento de dados, como trabalhos, gatilhos, fluxos de trabalho e tarefas de ML. Todas as APIs do AWS Glue, no entanto, registram as identidades dos usuários AWS CloudTrail para fins de auditoria.

  • No momento, a AWS Glue oferece suporte à integração com o Centro de Identidade do IAM exclusivamente via interfaces de API e CLI, e não via console.

  • Quando uma aplicação for habilitada no lado do AWS Glue, certifique-se de criar sessões 5.0 com credenciais do IdC, mas não crie uma sessão 4.0 com credenciais de IdC.

  • Há suporte à Propagação de identidade confiável com o AWS Glue nas seguintes regiões da AWS:

    • af-south-1: África (Cidade do Cabo)

    • ap-east-1: Ásia-Pacífico (Hong Kong)

    • ap-northeast-1 – Ásia-Pacífico (Tóquio)

    • ap-northeast-2: Ásia-Pacífico (Seul)

    • Ásia-Pacífico (Osaka): ap-northeast-3

    • ap-south-1: Ásia-Pacífico (Mumbai)

    • ap-southeast: Ásia-Pacífico (Singapura)

    • ap-southeast-2: Ásia-Pacífico (Sydney)

    • ap-southeast-3: Ásia-Pacífico (Jacarta)

    • ca-central-1: Canadá (Central)

    • eu-central-1 – Europa (Frankfurt)

    • eu-north-1: Europa (Estocolmo)

    • eu-south-1: Europa (Milão)

    • eu-west-1 – Europa (Irlanda)

    • eu-west-2: Europa (Londres)

    • eu-west-3: Europa (Paris)

    • me-south-1: Oriente Médio (Bahrein)

    • sa-east-1: América do Sul (São Paulo)

    • us-east-1 – Leste dos EUA (Norte da Virgínia)

    • us-east-2 – Leste dos EUA (Ohio)

    • us-west-1: Oeste dos EUA (Norte da Califórnia)

    • us-west-2 – Oeste dos EUA (Oregon)