本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為任務執行授予動態範圍的政策
AWS Glue 提供強大的新功能:任務執行的動態工作階段政策。此功能可讓您為每個任務執行指定自訂、精細的許可,而無需建立多個 IAM 角色。
當您使用 StartJobRun API 啟動 Glue 任務時,您可以包含內嵌工作階段政策。此政策會在特定任務執行期間暫時修改任務執行角色的許可。這類似於在其他 AWS 服務中搭配 AssumeRole API 使用臨時登入資料。
增強安全性:您可以將任務許可限制為每次執行所需的最低許可。
簡化管理:無需為不同案例建立和維護許多 IAM 角色。
彈性:您可以根據執行時間參數或租戶特定需求動態調整許可。
可擴展性:此方法在您需要隔離租用戶之間的資源的多租用戶環境中表現卓越。
授予動態範圍政策用量的範例:
下列範例示範僅將任務讀取和寫入存取權授予特定 Amazon S3 儲存貯體路徑,其中路徑是由任務執行 ID 動態決定。這說明如何針對每個任務執行實作精細的執行特定許可。
從 CLI
aws glue start-job-run \ --job-name "your-job-name" \ --execution-role-session-policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::specific-bucket/${JobRunId}/*" ] } ] }'
