Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Guida introduttiva alla propagazione affidabile delle identità in ETL AWS Glue
Questa sezione aiuta a configurare AWS Glue l'applicazione con sessioni interattive per l'integrazione con IAM Identity Center e abilitare la propagazione delle [identità affidabili](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html).
## Prerequisiti
+ Un'istanza di Identity Center nella AWS regione in cui si desidera creare sessioni AWS Glue interattive abilitate alla propagazione dell'identità affidabile. Un'istanza di Identity Center può esistere solo in una singola regione per un AWS account. Per ulteriori informazioni, consultare [Abilita Centro identità IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) ed [effettuare il provisioning di utenti e gruppi dall'origine delle identità nel Centro identità IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html).
+ Abilitare la propagazione attendibile delle identità per servizi downstream come Lake Formation o Amazon S3 Access Grants o il cluster Amazon Redshift con cui il carico di lavoro interattivo interagisce per accedere ai dati.
## Autorizzazioni necessarie per connettere AWS Glue ETL con IAM Identity Center
**Creazione di un ruolo IAM**
Il ruolo che crea la connessione al Centro identità IAM richiede le autorizzazioni per creare e modificare la configurazione dell'applicazione in AWS Glue e nel Centro identità IAM, come indicato nella seguente policy in linea.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:CreateGlueIdentityCenterConfiguration",
"sso:CreateApplication",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope",
"sso:ListInstances"
],
"Resource": [
"*"
]
}
]
}
```
------
Le seguenti policy in linea contengono autorizzazioni specifiche necessarie per visualizzare, aggiornare ed eliminare le proprietà di integrazione AWS Glue con il Centro identità IAM.
Utilizza la seguente policy in linea per consentire a un ruolo IAM di visualizzare un' AWS Glue integrazione con IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetGlueIdentityCenterConfiguration"
],
"Resource": [
"*"
]
}
]
}
```
------
Utilizza la seguente policy in linea per consentire a un ruolo IAM di aggiornare AWS Glue l'integrazione con IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:UpdateGlueIdentityCenterConfiguration",
"sso:PutApplicationAccessScope",
"sso:DeleteApplicationAccessScope"
],
"Resource": [
"*"
]
}
]
}
```
------
Utilizza la seguente policy in linea per consentire a un ruolo IAM di eliminare un' AWS Glue integrazione con IAM Identity Center.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:DeleteGlueIdentityCenterConfiguration",
"sso:DeleteApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
### Descrizione delle autorizzazioni
+ `glue:CreateGlueIdentityCenterConfiguration`— Concede l'autorizzazione a creare la configurazione AWS Glue iDC.
+ `glue:GetGlueIdentityCenterConfiguration`: concede l'autorizzazione per ottenere una configurazione IdC esistente.
+ `glue:DeleteGlueIdentityCenterConfiguration`— Concede il permesso di eliminare una configurazione IdC esistente AWS Glue .
+ `glue:UpdateGlueIdentityCenterConfiguration`— Concede il permesso di aggiornare una configurazione IdC esistente AWS Glue .
+ `sso:CreateApplication`— Concede l'autorizzazione a creare un'applicazione IAM Identity AWS Glue Center gestita.
+ `sso:DescribeApplication`- Concede l'autorizzazione a descrivere un'applicazione IAM Identity Center AWS Glue gestita.
+ `sso:DeleteApplication`— Concede l'autorizzazione a eliminare un'applicazione IAM Identity Center AWS Glue gestita.
+ `sso:UpdateApplication`— Concede l'autorizzazione ad aggiornare un'applicazione IAM Identity Center AWS Glue gestita.
+ `sso:PutApplicationGrant`— Concede l'autorizzazione ad applicare token-exchange, IntrospectToken, RefreshToken e concessioni sull'applicazione iDC. RevokeToken
+ `sso:PutApplicationAuthenticationMethod`— Concede l'autorizzazione a inserire AuthenticationMethod sull'applicazione iDC AWS Glue gestita che consente al responsabile del servizio di interagire con l'applicazione iDC. AWS Glue
+ `sso:PutApplicationAccessScope`— Concede l'autorizzazione ad aggiungere o aggiornare l'elenco degli ambiti di servizio downstream autorizzati sull'applicazione iDC gestita. AWS Glue
+ `sso:DeleteApplicationAccessScope`- Concede l'autorizzazione a eliminare gli ambiti a valle se viene rimosso un ambito per l'applicazione iDC gestita. AWS Glue
+ `sso:PutApplicationAssignmentConfiguration`— Concede l'autorizzazione a impostare l'impostazione «User-assignment-not-required» sull'applicazione iDC.
+ `sso:ListInstances`— Concede il permesso di elencare le istanze e convalidare l'iDC InstanceArn specificato nel parametro. identity-center-configuration
## Connessione con AWS Glue IAM Identity Center
Quando AWS Glue è connesso a IAM Identity Center, crea un'applicazione iDC gestita singleton per account. L'esempio seguente mostra come è possibile connettersi a IAM Identity AWS Glue Center:
```
aws glue create-glue-identity-center-configuration \
--instance-arn arn:aws:sso:::instance/ssoins-123456789 \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
```
Per aggiornare gli ambiti dell'applicazione gestita (in genere eseguita per propagarsi a più servizi downstream), è possibile utilizzare:
```
aws glue update-glue-identity-center-configuration \
--scopes '["s3:access_grants:read_write", "redshift:connect","lakeformation:query"]'
```
Il parametro Ambiti è facoltativo e tutti gli ambiti verranno aggiunti se non vengono forniti. I valori supportati sono `s3:access_grants:read_write`, `redshift:connect` e `lakeformation:query`.
Per ottenere i dettagli della configurazione, è possibile usare:
```
aws glue get-glue-identity-center-configuration
```
Puoi eliminare la connessione tra AWS Glue e IAM Identity Center utilizzando il seguente comando:
```
aws glue delete-glue-identity-center-configuration
```
**Nota**
AWS Glue crea un'applicazione Identity Center gestita dal servizio nel tuo account che il servizio sfrutta per la convalida dell'identità e la propagazione dell'identità ai servizi downstream. AWS Glue l'applicazione Identity Center gestita creata viene condivisa tra tutte le trusted-identity-propagation sessioni dell'account.
**Avviso:** non modificare manualmente le impostazioni sull'applicazione gestita del Centro identità. Qualsiasi modifica potrebbe influire su tutte le sessioni AWS Glue interattive trusted-identity-propagation abilitate nel tuo account.
## Creazione di una sessione AWS Glue interattiva con Trusted Identity Propagation abilitata
Dopo esserti connesso a IAM Identity Center, puoi utilizzare le [credenziali di ruolo AWS Glue con identità avanzata](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-identity-enhanced-iam-role-sessions.html) per creare una sessione interattiva. AWS Glue Non è necessario passare parametri aggiuntivi durante la creazione di una sessione 5.0. AWS Glue Poiché AWS Glue è connesso a IAM Identity Center, se viene AWS Glue rilevato identity-enhanced-role-credentials, propagherà automaticamente le informazioni sull'identità ai servizi a valle che vengono richiamati come parte delle istruzioni. Tuttavia, il ruolo di runtime per la sessione deve disporre dell'autorizzazione `sts:SetContext`, come illustrato di seguito.
**Autorizzazioni di ruolo di runtime per propagare l'identità**
Poiché AWS Glue le sessioni sfruttano [le credenziali potenziate dall'identità](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-identity-enhanced-iam-role-sessions.html) per propagare l'identità ai AWS servizi downstream, la policy di fiducia del ruolo di runtime deve disporre di autorizzazioni `sts:SetContext` aggiuntive per consentire la propagazione dell'identità ai servizi downstream (Amazon S3 access-grant, Lake Formation, Amazon Redshift). Per ulteriori informazioni su come creare un ruolo di runtime, consulta [Configurazione di un ruolo di runtime](https://docs.aws.amazon.com/glue/latest/dg/create-service-role.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
Inoltre, il ruolo Runtime richiederebbe le autorizzazioni per i servizi downstream che job-run richiamerebbe per recuperare i dati utilizzando l'identità dell'utente. AWS Fare riferimento ai seguenti link per configurare Amazon S3 Access Grants e Lake Formation:
+ [Usare Lake Formation con AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security-lake-formation-fgac.html)
+ [Utilizzo di Amazon S3 Access Grants con AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/security-s3-access-grants.html)