本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Glue ETL 受信任身分傳播整合的考量和限制
重要
根據預設,工作階段並非私有,這表示一個 IdC 使用者可以存取另一個 IdC 使用者的工作階段。可以使用 tagOnCreate 將工作階段設為私有。例如,可以使用擁有者標籤來標記工作階段,並將其值設為 IDC 使用者 ID,然後在政策上,可以使用全域條件金鑰 (例如 identitystore:UserId) 對所有工作階段 API 操作的用戶端主體/執行時期角色政策中的擁有者標籤進行驗證,以確保一個 IdC 使用者無法存取另一個 IdC 使用者的工作階段。
當您將 IAM Identity Center Trusted Identity Propagation 與 AWS Glue 應用程式搭配使用時,請考慮下列事項:
-
AWS Glue 5.0 及更高版本支援透過 Identity Center 的受信任身分傳播,且僅適用於 AWS Glue 互動式工作階段。
AWS Glue Lake Formation 身分中心整合涵蓋資料目錄。
信任的身分傳播僅限於 中的互動式工作階段 AWS Glue,不包括任務、觸發條件、工作流程和 ML 任務等其他資料處理實體。不過, AWS Glue APIs 中記錄使用者身分 AWS CloudTrail 以進行稽核。
AWS Glue 目前僅支援透過 API 和 CLI 介面與 IAM Identity Center 整合,而非透過主控台。
在 AWS Glue 端啟用應用程式後,請務必使用 IdC 登入資料建立 5.0 工作階段,但不要使用 IdC 登入資料建立 4.0 工作階段。
下列 AWS 區域 AWS Glue 支援使用 的受信任身分傳播:
af-south-1 – 非洲 (開普敦)
ap-east-1 – 亞太區域 (香港)
ap-northeast-1 – 亞太區域 (東京)
ap-northeast-2 – 亞太區域 (首爾)
ap-northeast-3 – 亞太區域 (大阪)
ap-south-1 – 亞太區域 (孟買)
ap-southeast-1 – 亞太區域 (新加坡)
ap-southeast-2 – 亞太區域 (雪梨)
ap-southeast-3 – 亞太區域 (雅加達)
ca-central-1 – 加拿大 (中部)
eu-central-1 – 歐洲 (法蘭克福)
eu-north-1 – 歐洲 (斯德哥爾摩)
eu-south-1 – 歐洲 (米蘭)
eu-west-1 – 歐洲 (愛爾蘭)
eu-west-2 – 歐洲 (倫敦)
eu-west-3 – 歐洲 (巴黎)
me-south-1 – 中東 (巴林)
sa-east-1 – 南美洲 (聖保羅)
us-east-1 – 美國東部 (維吉尼亞北部)
us-east-2 – 美國東部 (俄亥俄州)
us-west-1 – 美國西部 (加利佛尼亞北部)
us-west-2 – 美國西部 (奧勒岡州)