Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Démarrage avec séances interactives AWS Glue
Ces sections décrivent comment exécuter des séances interactives AWS Glue localement.
## Conditions préalables à la configuration locale des séances interactives
Les conditions suivantes sont requises pour installer des séances interactives :
+ Les versions de Python prises en charge vont des versions 3.6 à 3.10 et ultérieures.
+ Consultez les sections ci-dessous pour MacOS/Linux les instructions relatives à Windows.
+ Consultez la documentation sur la [tarification des sessions interactives](https://docs.aws.amazon.com/glue/latest/dg/interactive-sessions-session-pricing.html) pour comprendre la structure des coûts.
## Installation de Jupyter et de sessions AWS Glue interactives (noyaux Jupyter)
Pour installer le noyau localement, procédez comme suit.
La commande `install-glue-kernels` installe les KernelSpec Jupyter pour les noyaux Pyspark et Spark et installe également les logos dans le bon répertoire.
```
pip3 install --upgrade jupyter boto3 aws-glue-sessions
```
```
install-glue-kernels
```
## Exécution de Jupyter
Pour exécuter Jupyter Notebook, effectuez les étapes suivantes.
1. Pour lancer Jupyter Notebook, exécutez la commande suivante.
```
jupyter notebook
```
1. Choisissez **New** (Nouveau), puis choisissez l'un des noyaux AWS Glue pour commencer à coder par rapport au AWS Glue.
## Configuration des informations d'identification de séance et de région
### Instructions MacOS/Linux
Les séances interactives AWS Glue requièrent les mêmes autorisations IAM que les tâches AWS Glue et les points de terminaison de développement. Spécifiez le rôle utilisé avec des séances interactives de l'une des deux manières suivantes :
1. Avec magics `%iam_role` et `%region`
1. Avec une ligne supplémentaire dans `~/.aws/config`
**Configuration d'un rôle de séance avec magic**
Dans la première cellule, saisissez `%iam_role ` dans la première cellule exécutée.
**Configuration d'un rôle de séance avec `~/.aws/config`**
AWS GlueLe rôle de service pour les sessions interactives peut être spécifié dans le bloc-notes lui-même ou stocké à côté de la AWS CLI configuration. Si vous avez un rôle que vous utilisez généralement avec les tâches AWS Glue, ce sera ce rôle. Si vous n'avez pas de rôle que vous utilisez pour les tâches AWS Glue, veuillez suivre ce guide, [Configuring IAM permissions for AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/configure-iam-for-glue.html), pour en configurer un.
Pour définir ce rôle comme rôle par défaut pour les séances interactives, procédez comme suit :
1. Ouvrez `~/.aws/config` avec un éditeur de texte.
1. Recherchez le profil que vous utilisez pour AWS Glue. Si vous n'avez pas de profil, utilisez le profil `[Default]`.
1. Ajoutez une ligne dans le profil pour le rôle que vous avez l'intention d'utiliser comme `glue_role_arn=`.
1. [Facultatif] : si votre profil ne possède pas de région par défaut, je vous recommande d'en ajouter une avec `region=us-east-1`, en remplaçant `us-east-1` par la région de votre choix.
1. Enregistrez la configuration.
Pour de plus amples informations, veuillez consulter [Séances interactives avec IAM](glue-is-security.md).
### Instructions Windows
Les séances interactives AWS Glue requièrent les mêmes autorisations IAM que les tâches AWS Glue et les points de terminaison de développement. Spécifiez le rôle utilisé avec des séances interactives de l'une des deux manières suivantes :
1. Avec magics `%iam_role` et `%region`
1. Avec une ligne supplémentaire dans `~/.aws/config`
**Configuration d'un rôle de séance avec magic**
Dans la première cellule, saisissez `%iam_role ` dans la première cellule exécutée.
**Configuration d'un rôle de session avec `~/.aws/config`**
AWS GlueLe rôle de service pour les sessions interactives peut être spécifié dans le bloc-notes lui-même ou stocké à côté de la AWS CLI configuration. Si vous avez un rôle que vous utilisez généralement avec les tâches AWS Glue, ce sera ce rôle. Si vous n'avez pas de rôle que vous utilisez pour les tâches AWS Glue, veuillez suivre ce guide, [Configuration des autorisations IAM pour AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/configure-iam-for-glue.html) , pour en configurer un.
Pour définir ce rôle comme rôle par défaut pour les séances interactives, procédez comme suit :
1. Ouvrez `~/.aws/config` avec un éditeur de texte.
1. Recherchez le profil que vous utilisez pour AWS Glue. Si vous n'avez pas de profil, utilisez le profil `[Default]`.
1. Ajoutez une ligne dans le profil pour le rôle que vous avez l'intention d'utiliser comme `glue_role_arn=`.
1. [Facultatif] : si votre profil ne possède pas de région par défaut, je vous recommande d'en ajouter une avec `region=us-east-1`, en remplaçant `us-east-1` par la région de votre choix.
1. Enregistrez la configuration.
Pour de plus amples informations, veuillez consulter [Séances interactives avec IAM](glue-is-security.md).
## Mise à niveau à partir de l'aperçu des séances interactives
Le noyau a été mis à niveau avec de nouveaux noms lors de sa sortie avec la version 0.27. Pour nettoyer les versions d'aperçu des noyaux, exécutez ce qui suit depuis un terminal ou PowerShell.
**Note**
Si vous faites partie d'un autre aperçu AWS Glue qui nécessite un modèle de service personnalisé, la suppression du noyau supprimera le modèle de service personnalisé.
```
# Remove Old Glue Kernels
jupyter kernelspec remove glue_python_kernel
jupyter kernelspec remove glue_scala_kernel
# Remove Custom Model
cd ~/.aws/models
rm -rf glue/
```
# Utilisation de sessions interactives avec SageMaker AI Studio
AWS Glue Interactive Sessions est un environnement d'exécution Apache Spark sans serveur à la demande que les data scientists et les ingénieurs peuvent utiliser pour créer, tester et exécuter rapidement des applications de préparation et d'analyse des données. Vous pouvez lancer une session AWS Glue interactive en démarrant un bloc-notes Amazon SageMaker AI Studio Classic.
Pour plus d’informations, consultez [Prepare Data using AWS Glue interactive sessions](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-glue.html).
# Utilisation des séances interactives avec Microsoft Visual Studio Code
**Conditions préalables**
+ Installez les séances interactives AWS Glue et vérifiez qu'elles fonctionnent avec Bloc-notes Jupyter.
+ Téléchargez et installez Visual Studio Code avec Jupyter. Pour plus d'informations, consultez [Bloc-notes Jupyter dans VS Code](https://code.visualstudio.com/docs/datascience/jupyter-notebooks).
**Pour démarrer avec des sessions interactives avec VSCode**
1. Désactivez Jupyter AutoStart dans VS Code.
Dans Visual Studio Code, les noyaux Jupyter démarreront automatiquement, ce qui empêchera vos magics de faire effet, car la session sera déjà lancée. Pour désactiver le **Démarrage automatique** sous Windows, accédez à **Fichier** > **Préférences** > **Extensions** > **Jupyter** > faites un clic droit sur Jupyter puis choisissez **Paramètres d'extension**.
Sur macOS, accédez à **Code** > **Paramètres** > **Extensions** > **Jupyter** > faites un clic droit sur Jupyter puis choisissez **Paramètres d'extension**.
Faites défiler la page vers le bas jusqu'à ce que vous voyiez **Jupyter : désactiver le démarrage automatique de Jupyter**. Cochez la case « Lorsque la valeur est vraie, le démarrage automatique de Jupyter est désactivé pour vous. Vous devez plutôt exécuter une cellule pour démarrer Jupyter. »
![\[La capture d'écran montre la case à cocher activée pour l'extension Jupyter dans VS Code.\]](http://docs.aws.amazon.com/fr_fr/glue/latest/dg/images/IS_vscode_step1.png)
1. Accédez à Fichier > Nouveau fichier > Enregistrer pour enregistrer ce fichier avec le nom de votre choix en tant qu'une extension `.ipynb` ou sélectionnez **jupyter** sous **select a language** (Choisissez un langage), puis enregistrez le fichier.
![\[La capture d'écran montre le fichier enregistré sous un nouveau nom.\]](http://docs.aws.amazon.com/fr_fr/glue/latest/dg/images/IS_vscode_step2.gif)
1. Double-cliquez sur le fichier. Le shell Jupyter s'affiche et un bloc-notes s'ouvre.
![\[La capture d'écran montre le bloc-notes ouvert.\]](http://docs.aws.amazon.com/fr_fr/glue/latest/dg/images/IS_vscode_step3.png)
1. Sous Windows, lorsque vous créez un fichier pour la première fois, par défaut, aucun noyau n'est sélectionné. Cliquez sur **Select Kernel** (Choisissez un noyau) et une liste des noyaux disponibles s'affiche. Choisissez **Glue PySpark**.
Sur macOS, si le PySpark noyau **Glue** n'apparaît pas, essayez les étapes suivantes :
1. Lancez une session Jupyter locale pour obtenir l'URL.
Par exemple, pour lancer le bloc-notes Jupyter, exécutez la commande suivante.
```
jupyter notebook
```
Lorsque le bloc-notes s'exécute pour la première fois, vous verrez une URL qui ressemble à `http://localhost:8888/?token=3398XXXXXXXXXXXXXXXX`.
Copiez l’URL.
1. Dans VS Code, cliquez sur le noyau actuel, puis sur **Sélectionnez un autre noyau…**, puis sélectionnez **Serveur Jupyter existant…**. Collez l'URL que vous avez copiée à l'étape ci-dessus.
Si vous recevez un message d'erreur, consultez le [wiki VS Code Jupyter](https://github.com/microsoft/vscode-jupyter/wiki/Connecting-to-a-remote-Jupyter-server-from-vscode.dev).
1. En cas de succès, le noyau sera défini sur **Glue PySpark**.
![\[La capture d'écran affiche le bouton Sélectionner un noyau en surbrillance.\]](http://docs.aws.amazon.com/fr_fr/glue/latest/dg/images/IS_vscode_step4a.png)
Choisissez le noyau **Glue PySpark** **ou Glue Spark** (pour Python et Scala respectivement).
![\[La capture d'écran montre la sélection pour AWS Glue PySpark.\]](http://docs.aws.amazon.com/fr_fr/glue/latest/dg/images/IS_vscode_step4b.png)
Si aucun noyau **AWS GlueSpark** n'apparaît **AWS Glue PySpark**dans la liste déroulante, vérifiez que vous avez installé le AWS Glue noyau à l'étape ci-dessus ou que vos `python.defaultInterpreterPath` paramètres dans Visual Studio Code sont corrects. Pour plus d'informations, consultez [Python. defaultInterpreterPath description du réglage](https://github.com/microsoft/vscode-python/wiki/Setting-descriptions#pythondefaultinterpreterpath).
1. Création d'une séance interactive AWS Glue. Procédez à la création d'une session de la même manière que dans le bloc-notes Jupyter. Spécifiez n'importe quelle magie en haut de la première cellule et exécutez une instruction de code.
# Séances interactives avec IAM
Ces sections décrivent les considérations relatives à la sécurité des séances interactives AWS Glue.
**Topics**
+ [Principaux IAM utilisés avec des séances interactives](#glue-is-security-iam-principals)
+ [Paramétrer un client principal](#glue-is-client-principals)
+ [Paramétrer un rôle d'exécution](#glue-is-runtime-role)
+ [Rendez votre session privée avec TagOnCreate](#glue-is-tagoncreate)
+ [Considérations de politique IAM](#glue-is-security-iam-managed-policy)
## Principaux IAM utilisés avec des séances interactives
Vous utilisez deux principaux IAM utilisés avec des séances interactives AWS Glue.
+ **Client principal**: Le principal client (un utilisateur ou un rôle) autorise les opérations API pour les séances interactives à partir d'un client AWS Glue configuré avec les informations d'identification basées sur l'identité du principal. Il peut s'agir par exemple d'un rôle IAM que vous utilisez généralement pour accéder à la console AWS Glue. Il peut également s'agir d'un rôle attribué à un utilisateur dans IAM dont les informations d'identification sont utilisées pour le noyau AWS Command Line Interface Jupyter ou d'un AWS Glue client utilisé par les sessions interactives du noyau Jupyter.
+ **Rôle d'exécution** : le rôle d'exécution est un rôle IAM que le principal client transmet aux opérations API des séances interactives. AWS Glue utilise ce rôle pour exécuter des instructions dans votre séance. Par exemple, ce rôle peut être celui utilisé pour exécuter des tâches ETL AWS Glue.
Pour plus d'informations, consultez [Paramétrer un rôle d'exécution](#glue-is-runtime-role).
## Paramétrer un client principal
Vous devez attacher une politique d'identité au principal du client pour lui permettre d'appeler l'API des séances interactives. Ce rôle doit avoir un accès `iam:PassRole` au rôle d'exécution que vous devez transmettre aux API des séances interactives telles que `CreateSession`. Par exemple, vous pouvez associer la politique **AWSGlueConsoleFullAccess**gérée à un rôle IAM qui permet aux utilisateurs de votre compte auxquels la politique est attachée d'accéder à toutes les sessions créées dans votre compte (comme la déclaration d'exécution ou la déclaration d'annulation).
Si vous souhaitez protéger votre session et la rendre privée uniquement pour certains rôles IAM, tels que ceux associés à l'utilisateur qui a créé la session, vous pouvez utiliser le contrôle d'autorisation basé sur les balises d'AWS GlueInteractive Session appelé TagOnCreate. Pour plus d'informations, découvrez [Rendez votre session privée avec TagOnCreate](#glue-is-tagoncreate) comment une politique gérée délimitée basée sur le tag du propriétaire peut rendre votre session privée avec. TagOnCreate Pour plus d’informations sur les politiques basées sur l’identité, consultez [Identity-based policies for AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security_iam_service-with-iam.html#security_iam_service-with-iam-id-based-policies).
## Paramétrer un rôle d'exécution
Vous devez transmettre un rôle IAM à l'opération CreateSession API afin de permettre d'assumer et AWS Glue d'exécuter des instructions dans les sessions interactives. Le rôle doit avoir les mêmes autorisations IAM que celles requises pour exécuter une tâche AWS Glue typique. Par exemple, vous pouvez créer un rôle de service à l'aide de la **AWSGlueServiceRole**politique qui permet AWS Glue d'appeler AWS des services en votre nom. Si vous utilisez la console AWS Glue, il créera automatiquement une fonction du service en votre nom ou en utilisera une existante. Vous pouvez également créer votre propre rôle IAM et attacher votre propre politique IAM pour autoriser des autorisations similaires.
Si vous souhaitez protéger votre session et la rendre privée uniquement pour l'utilisateur qui l'a créée, vous pouvez utiliser le contrôle d'autorisation basé sur les balises d'AWS GlueInteractive Session appelé TagOnCreate. Pour plus d'informations, découvrez [Rendez votre session privée avec TagOnCreate](#glue-is-tagoncreate) comment une politique gérée délimitée basée sur le tag du propriétaire peut rendre votre session privée avec. TagOnCreate Pour plus d'informations sur les stratégies basées sur l'identité, consultez [Politiques basées sur l'identité pour Glue AWS](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies). Si vous créez vous-même le rôle d'exécution à partir de la console IAM et que vous souhaitez rendre votre service privé grâce à TagOnCreate une fonctionnalité, suivez les étapes ci-dessous.
1. Créez un rôle IAM avec le type de rôle défini sur `Glue`.
1. Joignez cette politique AWS Glue gérée : *AwsGlueSessionUserRestrictedServiceRole*
1. Préfixez le nom du rôle par le nom de la politique. *AwsGlueSessionUserRestrictedServiceRole* Par exemple, vous pouvez créer un rôle nommé *AwsGlueSessionUserRestrictedServiceRole-myrole* et y associer une politique AWS Glue gérée. *AwsGlueSessionUserRestrictedServiceRole*
1. Attachez une politique d'approbation telle que la politique suivante pour autoriser AWS Glue à endosser le rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"glue.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole"
]
}
]
}
```
------
Pour une session interactive (noyau Jupyter), vous pouvez spécifier la `iam_role` clé dans votre AWS Command Line Interface profil. Pour de plus amples informations, veuillez consulter [Configuration de séances avec \$1/.aws/config](https://docs.aws.amazon.com/glue/latest/ug/interactive-sessions-magics.html#interactive-sessions-named-profiles) (langue Français non garantie). Si vous interagissez avec des séances interactives à l'aide d'un AWS Glue bloc-notes, vous pouvez ensuite passer le rôle d'exécution dans la magie `%iam_role` dans la première cellule que vous exécutez.
## Rendez votre session privée avec TagOnCreate
Les séances interactives AWS Glue prennent en charge l'étiquette et l'autorisation basée sur les identifications (TBAC) pour les séances interactives en tant que ressource nommée. Outre l'utilisation du TBAC TagResource et UntagResource APIs, les sessions AWS Glue interactives prennent en charge la TagOnCreate fonctionnalité permettant de « baliser » une session avec une balise donnée uniquement lors de la création et de l' CreateSession exploitation de la session. Cela signifie également que ces balises seront supprimées le DeleteSession, c'est-à-dire UntagOnDelete.
TagOnCreate propose un puissant mécanisme de sécurité pour rendre votre session privée pour le créateur de la session. Par exemple, vous pouvez associer une politique IAM avec « owner » RequestTag et une valeur de \$1 \$1aws:userId\$1 à un client principal (tel qu'un utilisateur) afin d'autoriser la création d'une session uniquement si une balise « owner » avec la valeur correspondante à l'identifiant de l'appelant est fournie en tant que balise userID dans la demande. CreateSession Cette politique autorise les séances interactives AWS Glue pour créer une ressource de séance et étiqueter la séance avec l'identification userId uniquement pendant la création de la séance. En outre, vous pouvez limiter l'accès (comme l'exécution d'instructions) à votre session uniquement au créateur (c'est-à-dire au tag owner avec la valeur \$1 \$1aws:userId\$1) de la session en attachant une politique IAM avec « owner » ResourceTag au rôle d'exécution que vous avez transmis au cours de cette session. CreateSession
Afin de faciliter l'utilisation de la TagOnCreate fonctionnalité permettant de rendre une session privée pour le créateur de session, AWS Glue fournit des politiques gérées et des rôles de service spécialisés.
Si vous souhaitez créer une session AWS Glue interactive à l'aide d'un AssumeRole principal IAM (c'est-à-dire en utilisant les informations d'identification fournies en assumant un rôle IAM) et que vous souhaitez rendre la session privée pour le créateur, utilisez des politiques similaires à celles de et respectivement. **AWSGlueSessionUserRestrictedNotebookPolicy**AWSGlueSessionUserRestrictedNotebookServiceRole**** Ces politiques permettent AWS Glue d'utiliser \$1 \$1aws :PrincipalTag\$1 pour extraire la valeur de la balise du propriétaire. Cela nécessite que vous transmettiez une balise UserID avec la valeur \$1 \$1aws:userId\$1 comme SessionTag dans les informations d'identification du rôle d'emprunt. Voir [Balises d’identification de séance ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html). Si vous utilisez une instance Amazon EC2 avec un profil d'instance qui vend les informations d'identification et que vous souhaitez créer une session ou interagir avec la session depuis l'instance Amazon EC2, vous devez transmettre une balise UserID avec la valeur \$1 \$1aws:userId\$1 comme dans l'identifiant d'acceptation du rôle. SessionTag
Par exemple, si vous créez une session à l'aide d'un identifiant AssumeRole principal IAM et que vous souhaitez rendre votre service privé avec une TagOnCreate fonctionnalité, suivez les étapes ci-dessous.
1. Créez vous-même un rôle d'exécution à partir de la console IAM. Joignez cette politique AWS Glue gérée *AwsGlueSessionUserRestrictedNotebookServiceRole*et préfixez le nom du rôle par le nom de la politique. *AwsGlueSessionUserRestrictedNotebookServiceRole* Par exemple, vous pouvez créer un rôle nommé *AwsGlueSessionUserRestrictedNotebookServiceRole-myrole* et y associer une politique AWS Glue gérée. *AwsGlueSessionUserRestrictedNotebookServiceRole*
1. Attachez une politique de confiance telle que celle ci-dessous pour autoriser AWS Glue à endosser le rôle ci-dessous.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"glue.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole"
]
}
]
}
```
------
1. Créez un autre rôle nommé avec un préfixe *AwsGlueSessionUserRestrictedNotebookPolicy*et attachez la politique AWS Glue gérée *AwsGlueSessionUserRestrictedNotebookPolicy*pour rendre la session privée. Outre la politique gérée, veuillez joindre la politique en ligne suivante pour autoriser iam : au rôle que vous avez créé PassRole à l'étape 1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/AwsGlueSessionUserRestrictedNotebookServiceRole*"
],
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com"
]
}
}
}
]
}
```
------
1. Attachez une politique de confiance telle que la suivante à IAM AWS Glue pour endosser ce rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"glue.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
```
------
**Note**
Vous pouvez éventuellement utiliser un seul rôle (par exemple, le rôle bloc-notes) et associer les deux politiques gérées ci-dessus *AwsGlueSessionUserRestrictedNotebookServiceRole*et *AwsGlueSessionUserRestrictedNotebookPolicy*. Attachez également la politique en ligne supplémentaire pour autoriser `iam:passrole` de votre rôle à AWS Glue. Et enfin, attachez la politique de confiance ci-dessus pour autoriser `sts:AssumeRole` et `sts:TagSession`.
### AWSGlueSessionUserRestrictedNotebookPolicy
Permet AWSGlue SessionUserRestrictedNotebookPolicy de créer une session AWS Glue interactive à partir d'un bloc-notes uniquement si la clé de balise « propriétaire » et la valeur correspondent à AWS l'identifiant utilisateur du principal (utilisateur ou rôle). Pour plus d'informations, consultez [Emplacement où vous pouvez utiliser les variables de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html#policy-vars-infotouse). Cette politique est attachée au principal (utilisateur ou rôle) qui crée des blocs-notes de séance interactive AWS Glue à partir d'AWS Glue Studio. Cette politique permet également un accès suffisant au AWS Glue Studio bloc-notes pour interagir avec les ressources de session AWS Glue Studio interactive créées avec la valeur de balise « owner » correspondant à l'ID AWS utilisateur du principal. Cette politique rejette l'autorisation de modifier ou de supprimer les identifications « propriétaire » d'une ressource de séance AWS Glue après la création de la séance.
### AWSGlueSessionUserRestrictedNotebookServiceRole
**AWSGlueSessionUserRestrictedNotebookServiceRole**Fournit un accès suffisant au AWS Glue Studio bloc-notes pour interagir avec les ressources de session AWS Glue interactive créées avec la valeur de balise « propriétaire » correspondant à l'ID AWS utilisateur du principal (utilisateur ou rôle) du créateur du bloc-notes. Pour plus d'informations, consultez [Emplacement où vous pouvez utiliser les variables de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html#policy-vars-infotouse). Cette politique de rôle de service est attachée au rôle qui est transmis comme par magie à un bloc-notes ou transmis en tant que rôle d'exécution à l' CreateSession API. Cette politique permet également de créer une session AWS Glue interactive à partir d'un bloc-notes uniquement si une balise clé « propriétaire » et une valeur correspondent à l'ID AWS utilisateur du principal. Cette politique rejette l'autorisation de modifier ou de supprimer une identification « propriétaire » d'une ressource de séance AWS Glue après la création de la séance. Cette politique inclut également les autorisations d'écriture et de lecture à partir de compartiments Amazon S3, de rédaction de CloudWatch journaux, de création et de suppression de balises pour les ressources Amazon EC2 utilisées par. AWS Glue
### Rendre votre session privée avec les politiques utilisateur
Vous pouvez associer les rôles IAM **AWSGlueSessionUserRestrictedPolicy**à chacun des utilisateurs de votre compte pour les empêcher de créer une session uniquement avec un tag de propriétaire dont la valeur correspond à leur propre \$1 \$1aws:userId\$1. Au lieu d'utiliser le **AWSGlueSessionUserRestrictedNotebookPolicy**et, **AWSGlueSessionUserRestrictedNotebookServiceRole**vous devez utiliser des politiques similaires au **AWSGlueSessionUserRestrictedPolicy**et **AWSGlueSessionUserRestrictedServiceRole**respectivement. Pour plus d'informations, consultez [Using-identity based policies](https://docs.aws.amazon.com/glue/latest/dg/using-identity-based-policies.html). Cette politique réduit l'accès à une session uniquement au créateur, l'\$1\$1aws:userId\$1 de l'utilisateur qui a créé la session avec la balise propriétaire portant son propre \$1\$1aws:userId\$1. Si vous avez créé vous-même le rôle d'exécution à l'aide de la console IAM en [Paramétrer un rôle d'exécution](#glue-is-runtime-role) suivant les étapes décrites dans la section, associez également la politique **AwsGlueSessionUserRestrictedPolicy**gérée ci-dessous à chacun des utilisateurs de votre compte `iam:PassRole` pour autoriser le rôle d'exécution que vous avez créé précédemment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/AwsGlueSessionUserRestrictedServiceRole*"
],
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com"
]
}
}
}
]
}
```
------
#### AWSGlueSessionUserRestrictedPolicy
**AWSGlueSessionUserRestrictedPolicy**Permet de créer une session AWS Glue interactive à l'aide de l' CreateSession API uniquement si une clé de balise « propriétaire » et une valeur correspondant à son ID AWS utilisateur sont fournies. Cette politique d'identité est attachée à l'utilisateur qui appelle l' CreateSession API. Cette politique permet également d'interagir avec les ressources de session AWS Glue interactive créées avec une balise « owner » et une valeur correspondant à leur identifiant AWS utilisateur. Cette politique rejette l'autorisation de modifier ou de supprimer les identifications « propriétaire » d'une ressource de séance AWS Glue après la création de la séance.
#### AWSGlueSessionUserRestrictedServiceRole
**AWSGlueSessionUserRestrictedServiceRole**Fournit un accès complet à toutes les AWS Glue ressources, à l'exception des sessions, et permet aux utilisateurs de créer et d'utiliser uniquement les sessions interactives associées à l'utilisateur. Cette politique inclut également d'autres autorisations nécessaires AWS Glue pour gérer les ressources Glue dans d'autres AWS services. La politique permet également d'ajouter des balises aux AWS Glue ressources d'autres AWS services.
## Considérations de politique IAM
Les séances interactives sont des ressources IAM dans AWS Glue. Étant donné qu'il s'agit de ressources IAM, l'accès et l'interaction à une séance sont régis par des politiques IAM. Sur la base des politiques IAM attachées à un client principal ou à un rôle d'exécution configuré par un administrateur, un client principal (utilisateur ou rôle) pourra créer de nouvelles séances et interagir avec ses propres séances et d'autres séances.
Si un administrateur a joint une politique IAM telle AWSGlue ServiceRole que AWSGlue ConsoleFullAccess ou qui autorise l'accès à toutes les AWS Glue ressources de ce compte, le client principal pourra collaborer entre eux. Par exemple, un utilisateur sera en mesure d'interagir avec des séances créées par d'autres utilisateurs si les politiques l'autorisent.
Si vous souhaitez configurer une politique adaptée à vos besoins spécifiques, veuillez consulter la [documentation IAM sur la configuration des ressources pour une politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). Par exemple, pour isoler les sessions appartenant à un utilisateur, vous pouvez utiliser la TagOnCreate fonctionnalité prise en charge par les sessions AWS Glue interactives. Consultez [Rendez votre session privée avec TagOnCreate](#glue-is-tagoncreate).
Les sessions interactives prennent en charge la limitation de la création de sessions sur la base de certaines conditions VPC. Consultez [Contrôler des politiques qui contrôlent les paramètres à l'aide des clés de condition](security_iam_id-based-policy-examples.md#glue-identity-based-policy-condition-key-vpc).