Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Queste sezioni descrivono le considerazioni sulla sicurezza per AWS Glue sessioni interattive.
Argomenti
Principali IAM utilizzati con le sessioni interattive
Si utilizzano due principi IAM utilizzati con AWS Glue sessioni interattive.
-
Client principal: il client principal (un utente o un ruolo) autorizza le operazioni API per le sessioni interattive da un AWS Glue client configurato con le credenziali basate sull'identità del principale. Ad esempio, questo potrebbe essere un ruolo IAM che in genere utilizzi per accedere a AWS Glue console. Questo potrebbe anche essere un ruolo assegnato a un utente in IAM le cui credenziali vengono utilizzate per AWS Command Line Interface, o un AWS Glue client utilizzato dalle sessioni interattive del kernel Jupyter.
-
Ruolo di runtime: il ruolo di runtime è un ruolo IAM che il client principal trasferisce alle operazioni API delle sessioni interattive. AWS Glue utilizza questo ruolo per eseguire istruzioni nella sessione. Ad esempio, questo ruolo potrebbe essere quello utilizzato per l'esecuzione AWS Glue Lavori ETL.
Per ulteriori informazioni, consulta Configurazione di un ruolo runtime.
Configurazione di un principale del client
È necessario allegare una policy di identità al principale del client per consentirgli di chiamare l'API delle sessioni interattive. Questo ruolo deve avere l'accesso iam:PassRole al ruolo di esecuzione che si passa per le operazioni API delle sessioni interattive come CreateSession. Ad esempio, puoi collegare la policy AWSGlueConsoleFullAccessgestita a un ruolo IAM che consente agli utenti del tuo account a cui è associata la policy di accedere a tutte le sessioni create nel tuo account (come l'istruzione di runtime o l'istruzione di cancellazione).
Se desideri proteggere la tua sessione e renderla privata solo per determinati ruoli IAM, come quelli associati all'utente che ha creato la sessione, puoi utilizzare AWS Glue Chiamato il controllo di autorizzazione basato su tag di Interactive Session TagOnCreate. Per ulteriori informazioni, scopri Rendi privata la tua sessione con TagOnCreate in che modo una policy gestita e mirata basata su tag del proprietario può rendere privata la tua sessione con. TagOnCreate Per ulteriori informazioni sulle politiche basate sull'identità, consulta Politiche basate sull'identità per AWS Glue.
Configurazione di un ruolo runtime
È necessario passare un ruolo IAM all'operazione API per consentire CreateSession AWS Glue per assumere ed eseguire istruzioni in sessioni interattive. Il ruolo deve avere le stesse autorizzazioni IAM necessarie per eseguire un tipico AWS Glue lavoro. Ad esempio, è possibile creare un ruolo di servizio utilizzando la AWSGlueServiceRolepolitica che consente AWS Glue per chiamare AWS i servizi per tuo conto. Se utilizzi il plugin AWS Glue console, creerà automaticamente un ruolo di servizio per tuo conto o ne utilizzerà uno esistente. Puoi anche creare il tuo ruolo IAM personalizzato e allegare la policy IAM per concedere autorizzazioni simili.
Se desideri proteggere la tua sessione e renderla privata solo per l'utente che ha creato la sessione, puoi utilizzare AWS Glue Chiamato il controllo di autorizzazione basato su tag di Interactive Session TagOnCreate. Per ulteriori informazioni, scopri Rendi privata la tua sessione con TagOnCreate in che modo una policy gestita e mirata basata su tag del proprietario può rendere privata la tua sessione con. TagOnCreate Per ulteriori informazioni sulle policy basate sull'identità, consulta la pagina Politiche basate sull'identità per Glue AWS. Se stai creando il ruolo di esecuzione da solo dalla console IAM e desideri rendere privato il servizio con TagOnCreate funzionalità, segui i passaggi seguenti.
-
Creare un ruolo IAM con il tipo di ruolo impostato su
Glue. -
Allega questo AWS Glue politica gestita: AwsGlueSessionUserRestrictedServiceRole
-
Prefissa il nome del ruolo con il nome della politica. AwsGlueSessionUserRestrictedServiceRole Ad esempio, puoi creare un ruolo con name AwsGlueSessionUserRestrictedServiceRole-myrole e attach AWS Glue politica gestita. AwsGlueSessionUserRestrictedServiceRole
-
Allega una politica di fiducia come la seguente per consentire AWS Glue per assumere il ruolo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "glue.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] }
Per le sessioni interattive del kernel Jupyter, puoi specificare la iam_role chiave nel tuo profilo. AWS Command Line Interface Per ulteriori informazioni, consulta Configurazione di sessioni con ~/.aws/config . Se stai interagendo con sessioni interattive utilizzando un AWS Glue notebook, allora puoi assegnare il ruolo di esecuzione nella %iam_role magia nella prima cella che esegui.
Rendi privata la tua sessione con TagOnCreate
AWS Glue le sessioni interattive supportano l'etichettatura e l'autorizzazione basata su tag (TBAC) per le sessioni interattive come risorsa denominata. Oltre a TBAC che utilizza e, TagResource UntagResource APIs AWS Glue le sessioni interattive supportano la TagOnCreate funzionalità di «taggare» una sessione con un determinato tag solo durante la creazione della sessione con CreateSession operazione. Ciò significa anche che quei tag verranno rimossi il DeleteSession, alias UntagOnDelete.
TagOnCreate offre un potente meccanismo di sicurezza per rendere la sessione privata al creatore della sessione. Ad esempio, puoi allegare una policy IAM con «owner» RequestTag e valore $ {aws:userId} a un client principal (come un utente) per consentire la creazione di una sessione solo se su richiesta viene fornito un tag «owner» con il valore corrispondente dell'userID del chiamante. CreateSession Questa politica consente AWS Glue sessioni interattive per creare una risorsa di sessione e contrassegnare la sessione con il tag UserID solo durante la creazione della sessione. Inoltre, puoi limitare l'accesso (ad esempio le istruzioni in esecuzione) alla sessione solo al creatore (ovvero tag owner con valore $ {aws:userId}) della sessione allegando una policy IAM con «owner» ResourceTag al ruolo di esecuzione che hai assegnato durante l'esecuzione. CreateSession
Per semplificare l'utilizzo della TagOnCreate funzionalità per rendere privata una sessione al creatore della sessione, AWS Glue fornisce politiche gestite specializzate e ruoli di servizio.
Se si desidera creare un AWS Glue Sessione interattiva che utilizza un AssumeRole principio IAM (ovvero, utilizza una credenziale fornita assumendo un ruolo IAM) e desideri rendere la sessione privata al creatore, utilizza politiche simili rispettivamente a e. AWSGlueSessionUserRestrictedNotebookPolicyAWSGlueSessionUserRestrictedNotebookServiceRole Queste politiche consentono AWS Glue usare $ {aws:PrincipalTag} per estrarre il valore del tag owner. Ciò richiede il passaggio di un tag userID con valore $ {aws:userId} come nella credenziale di assunzione del ruolo. SessionTag Consulta Tag della sessione ID. Se utilizzi un' EC2 istanza Amazon con un profilo di istanza che vende la credenziale e desideri creare una sessione o interagire con la sessione dall'interno dell' EC2 istanza Amazon, dovrai passare un tag userID con valore $ {aws:userId} come nella credenziale di assunzione del ruolo. SessionTag
Ad esempio, se stai creando una sessione utilizzando una credenziale AssumeRole principale IAM e desideri rendere privato il tuo servizio con funzionalità, segui i passaggi seguenti. TagOnCreate
-
Crea tu stesso un ruolo runtime dalla console IAM. Per favore allega questo AWS Glue policy gestita AwsGlueSessionUserRestrictedNotebookServiceRolee prefissa il nome del ruolo con il nome della policy. AwsGlueSessionUserRestrictedNotebookServiceRole Ad esempio, è possibile creare un ruolo con name AwsGlueSessionUserRestrictedNotebookServiceRole-myrole e attach AWS Glue politica gestita. AwsGlueSessionUserRestrictedNotebookServiceRole
-
Allega una politica di fiducia come quella riportata di seguito per consentire AWS Glue per assumere il ruolo di cui sopra.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "glue.amazonaws.com" ] }, "Action": [ "sts:AssumeRole" ] } ] } -
Crea un altro ruolo denominato con un prefisso AwsGlueSessionUserRestrictedNotebookPolicye allega il AWS Glue politica gestita AwsGlueSessionUserRestrictedNotebookPolicyper rendere privata la sessione. Oltre alla politica gestita, allega la seguente politica in linea per consentire iam: PassRole al ruolo creato nel passaggio 1.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/AwsGlueSessionUserRestrictedNotebookServiceRole*" ], "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] } -
Allega una policy di fiducia come la seguente all'IAM precedente AWS Glue assumere il ruolo.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": [ "glue.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] }] }Nota
Facoltativamente, è possibile utilizzare un singolo ruolo (ad esempio, il ruolo notebook) e allegare entrambe le politiche gestite sopra riportate AwsGlueSessionUserRestrictedNotebookServiceRolee AwsGlueSessionUserRestrictedNotebookPolicy. Allega anche la policy in linea aggiuntiva per consentire al tuo
iam:passroleruolo di AWS Glue. Infine, allega la politica di fiducia di cui sopra per consentirests:AssumeRoleests:TagSession.
AWSGlueSessionUserRestrictedNotebookPolicy
AWSGlueSessionUserRestrictedNotebookPolicy Fornisce l'accesso per creare un AWS Glue Sessione interattiva da un notebook solo se il tag chiave «proprietario» e il valore corrispondono AWS all'id utente del principale (utente o ruolo). Per ulteriori informazioni, consulta Casi in cui è possibile utilizzare le variabili di policy. Questa politica è allegata al principale (utente o ruolo) che crea AWS Glue Quaderni interattivi per sessioni di AWS Glue Studio. Questa politica consente inoltre un accesso sufficiente a AWS Glue Studio notebook per interagire con AWS Glue Studio Risorse di sessione interattive create con il valore del tag «owner» che corrisponde all'ID AWS utente del principale. Questa politica nega l'autorizzazione a modificare o rimuovere il tag «proprietario» da un AWS Glue risorsa di sessione dopo la creazione della sessione.
AWSGlueSessionUserRestrictedNotebookServiceRole
AWSGlueSessionUserRestrictedNotebookServiceRoleFornisce un accesso sufficiente a AWS Glue Studio notebook per interagire con AWS Glue Risorse di sessione interattive create con il valore del tag «owner» che corrisponde all'ID AWS utente del principale (utente o ruolo) del creatore del notebook. Per ulteriori informazioni, consulta Casi in cui è possibile utilizzare le variabili di policy. Questa policy relativa ai ruoli di servizio è allegata al ruolo che viene passato per magia a un notebook o passato come ruolo di esecuzione all' CreateSession API. Questa politica consente anche di creare un AWS Glue Sessione interattiva da un notebook solo se il tag chiave «proprietario» e il valore corrispondono AWS all'ID utente del principale. Questa politica nega l'autorizzazione a modificare o rimuovere il tag «proprietario» da un AWS Glue risorsa di sessione dopo la creazione della sessione. Questa politica include anche le autorizzazioni per la scrittura e la lettura da bucket Amazon S3, la CloudWatch scrittura di log, la creazione e l'eliminazione di tag per le risorse Amazon utilizzate da EC2 AWS Glue.
Rendere private le sessioni con gli utenti
Puoi associare i AWSGlueSessionUserRestrictedPolicydue ruoli IAM associati a ciascuno degli utenti del tuo account per impedire loro di creare una sessione solo con un tag proprietario con un valore corrispondente al proprio $ {aws:userId}. Invece di utilizzare AWSGlueSessionUserRestrictedNotebookPolicye, è AWSGlueSessionUserRestrictedNotebookServiceRolenecessario utilizzare politiche simili a e rispettivamente. AWSGlueSessionUserRestrictedPolicyAWSGlueSessionUserRestrictedServiceRole Per ulteriori informazioni, consulta la pagina Using identity based policies. Questa policy limita l'accesso a una sessione solo al creatore, il valore ${aws:userID} dell'utente che ha creato la sessione con tag proprietario svelando il proprio ${aws:userID}. Se hai creato tu stesso il ruolo di esecuzione utilizzando la console IAM seguendo i passaggi indicatiConfigurazione di un ruolo runtime, oltre ad allegare la policy AwsGlueSessionUserRestrictedPolicygestita, collega anche la seguente policy in linea a ciascuno degli utenti del tuo account iam:PassRole per consentire il ruolo di esecuzione che hai creato in precedenza.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/AwsGlueSessionUserRestrictedServiceRole*"
],
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com"
]
}
}
}]
} AWSGlueSessionUserRestrictedPolicy
AWSGlueSessionUserRestrictedPolicyFornisce l'accesso per creare un AWS Glue Sessione interattiva che utilizza l' CreateSession API solo se vengono forniti una chiave di tag «proprietario» e un valore corrispondenti AWS all'ID utente. Questa politica di identità è allegata all'utente che richiama l' CreateSession API. Questa politica consente anche di interagire con AWS Glue Risorse di sessione interattive create con un tag «proprietario» e un valore corrispondenti al relativo ID AWS utente. Questa politica nega l'autorizzazione a modificare o rimuovere il tag «proprietario» da un AWS Glue risorsa di sessione dopo la creazione della sessione.
AWSGlueSessionUserRestrictedServiceRole
AWSGlueSessionUserRestrictedServiceRoleFornisce l'accesso completo a tutti AWS Glue risorse ad eccezione delle sessioni e consente agli utenti di creare e utilizzare solo le sessioni interattive associate all'utente. Questa politica include anche altre autorizzazioni necessarie per AWS Glue per gestire le risorse Glue in altri AWS servizi. La politica consente anche di aggiungere tag a AWS Glue risorse in altri AWS servizi.
Considerazioni sulle policy IAM
Le sessioni interattive sono risorse IAM in AWS Glue. Poiché si tratta di risorse IAM, l'accesso e l'interazione a una sessione sono regolati dalle politiche IAM. In base alle policy IAM allegate a un principale del client o al ruolo di esecuzione configurato da un amministratore, un principale del client (utente o ruolo) sarà in grado di creare nuove sessioni e interagire con le proprie e con altre.
Se un amministratore ha allegato una policy IAM come AWSGlue ConsoleFullAccess o AWSGlue ServiceRole che consente l'accesso a tutti AWS Glue le risorse presenti in quell'account, il responsabile del cliente sarà in grado di collaborare tra loro. Ad esempio, un utente sarà in grado di interagire con le sessioni create da altri utenti se le policy lo consentono.
Per configurare una policy su misura per le tue esigenze specifiche, consulta la documentazione IAM sulla configurazione delle risorse per una policy. Ad esempio, per isolare le sessioni che appartengono a un utente, è possibile utilizzare la TagOnCreate funzionalità supportata da AWS Glue Sessioni interattive. Per informazioni, consulta Rendi privata la tua sessione con TagOnCreate .
Le sessioni interattive supportano la limitazione della creazione di sessioni in base a determinate condizioni del VPC. Per informazioni, consulta Policy di controllo che controllano le impostazioni utilizzando le chiavi di condizione.
