Amazon EMR sans serveur ajoute la prise en charge des autorisations d'exécution en ligne pour les exécutions de tâches
Amazon EMR sans serveur facilite l'exécution de frameworks d'analytique du big data open source sans configurer, gérer et dimensionner des clusters ou des serveurs. Aujourd'hui, nous sommes ravis d'annoncer la prise en charge de la spécification des autorisations en ligne lors de la soumission d'une tâche. Cela vous permet de définir des étendues d'autorisation précises et spécifiques au locataire par tâche exécutée pour les cas d'utilisation multi-locataires.
Lorsque vous soumettez une tâche exécutée sur EMR sans serveur, vous pouvez spécifier un rôle d'exécution que la tâche peut assumer lorsqu'elle appelle d'autres services AWS. Dans les environnements multi-locataires, tels que ceux gérés par des fournisseurs SaaS, les tâches sont souvent soumises pour le compte de locataires spécifiques. Pour garantir la sécurité et l'application du principe de moindre privilège, il est nécessaire de limiter les autorisations du rôle d'exécution au contexte spécifique d'un locataire pour une exécution de tâche donnée. Pour ce faire, il faut créer un rôle distinct pour chaque locataire avec des autorisations restreintes. La prolifération de tels rôles peut repousser les limites des comptes d'IAM et devenir difficile à gérer. Vous pouvez désormais spécifier une stratégie d'autorisation en ligne lors de la soumission d'une tâche exécutée en plus du rôle d'exécution. Les autorisations effectives pour l'exécution d'une tâche se situent à l'intersection de la stratégie en ligne et du rôle d'exécution. Vous pouvez définir les autorisations précises et spécifiques au locataire pour une tâche exécutée dans la stratégie en ligne, ce qui vous évite de devoir gérer un nombre croissant de rôles dans des environnements multi-locataires et ajuster facilement la définition de la stratégie pour les charges de travail spécifiques aux locataires.
Cette fonctionnalité est disponible pour toutes les versions d'EMR prises en charge et dans toutes les régions où EMR sans serveur est disponible. Pour en savoir plus, consultez la section Stratégie d'exécution.