API de seguridad en AWS Glue - AWS Glue
 —  tipos de datos  —DataCatalogEncryptionSettingsEncryptionAtRestConnectionPasswordEncryptionEncryptionConfigurationS3EncryptionCloudWatchEncryptionJobBookmarksEncryptionSecurityConfigurationPolítica de Glue —  operaciones  —GetDataCatalogEncryptionSettings (get_data_catalog_encryption_settings)PutDataCatalogEncryptionSettings (put_data_catalog_encryption_settings)PutResourcePolicy (put_resource_policy)GetResourcePolicy (get_resource_policy)DeleteResourcePolicy (delete_resource_policy)CreateSecurityConfiguration (create_security_configuration)DeleteSecurityConfiguration (delete_security_configuration)GetSecurityConfiguration (get_security_configuration)GetSecurityConfigurations (get_security_configurations)GetResourcePolicies (get_resource_policies)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

API de seguridad en AWS Glue

La API de seguridad describe los tipos de datos de seguridad y la API relacionada con la seguridad en AWS Glue.

Tipos de datos

DataCatalogEncryptionSettings structure

Contiene información de configuración para mantener la seguridad del catálogo de datos.

Campos

  • EncryptionAtRest: un objeto EncryptionAtRest.

    Especifica la configuración de cifrado en reposo del catálogo de datos.

  • ConnectionPasswordEncryption: un objeto ConnectionPasswordEncryption.

    Cuando está habilitada la protección de la contraseña de conexión, el catálogo de datos utiliza una clave proporcionada por el cliente para cifrar la contraseña como parte de CreateConnection o UpdateConnection, y almacenarla en el campo ENCRYPTED_PASSWORD de las propiedades de conexión. Puede habilitar el cifrado de catálogo o cifrado de solo por contraseña.

Estructura EncryptionAtRest

Especifica la configuración de cifrado en reposo del catálogo de datos.

Campos

  • CatalogEncryptionModeObligatorio: cadena UTF-8 (valores válidos: DISABLED | SSE-KMS="SSEKMS" | SSE-KMS-WITH-SERVICE-ROLE="SSEKMSWITHSERVICEROLE").

    Modo de cifrado en reposo para cifrar los datos del catálogo de datos.

  • SseAwsKmsKeyId: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    El ID de la clave AWS KMS que se debe usar para el cifrado en reposo.

  • CatalogEncryptionServiceRole: cadena UTF-8 que coincide con el Custom string pattern #24.

    El rol que asume AWS Glue para cifrar y descifrar los objetos del Catálogo de datos en nombre de quien realiza la llamada.

Estructura ConnectionPasswordEncryption

La estructura de datos que utiliza el catálogo de datos para cifrar la contraseña como parte de CreateConnection o UpdateConnection, y almacenarla en el campo ENCRYPTED_PASSWORD de las propiedades de conexión. Puede habilitar el cifrado de catálogo o cifrado de solo por contraseña.

Cuando llega una solicitud CreationConnection que contiene una contraseña, el Data Catalog primero cifra la contraseña usando su clave AWS KMS. A continuación, vuelve a cifrar todo el objeto de conexión si también está activada el cifrado de catálogo.

Este cifrado requiere que configure los permisos de clave AWS KMS KMS para habilitar o restringir el acceso a la clave de contraseña de acuerdo con sus requisitos de seguridad. Por ejemplo, es posible que desee que solo los administradores tengan permiso para descifrar la clave de contraseña.

Campos

  • ReturnConnectionPasswordEncryptedObligatorio: Booleano.

    Cuando la marca ReturnConnectionPasswordEncrypted se establece en “true”, las contraseñas permanecen cifradas en las respuestas de GetConnection y GetConnections. Este cifrado tiene efecto independientemente del cifrado del catálogo.

  • AwsKmsKeyId: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    Una clave AWS KMS que se utiliza para cifrar la contraseña de conexión.

    Si la protección de la contraseña de conexión está habilitada, el que realiza la llamada de CreateConnection y UpdateConnection necesita, al menos, permiso kms:Encrypt en la clave AWS KMS especificada para cifrar las contraseñas antes de almacenarlas en el Data Catalog.

    Puede establecer el permiso de descifrado para habilitar o restringir el acceso a la clave de contraseña de acuerdo con sus requisitos de seguridad.

Estructura EncryptionConfiguration

Especifica una configuración de cifrado.

Campos

  • S3Encryption: matriz de objetos S3Encryption.

    La configuración de cifrado de datos de Amazon Simple Storage Service (Amazon S3).

  • CloudWatchEncryption: un objeto CloudWatchEncryption.

    La configuración de cifrado para Amazon CloudWatch.

  • JobBookmarksEncryption: un objeto JobBookmarksEncryption.

    La configuración de cifrado para marcadores de trabajo.

Estructura S3Encryption

Especifica cómo se deben cifrar los datos de Amazon Simple Storage Service (Amazon S3).

Campos

  • S3EncryptionMode: cadena UTF-8 (valores válidos: DISABLED | SSE-KMS="SSEKMS" | SSE-S3="SSES3").

    El modo de cifrado que usar para datos de Amazon S3.

  • KmsKeyArn: cadena UTF-8 que coincide con el Custom string pattern #25.

    El nombre de recurso de Amazon (ARN) de la clave de KMS que utilizar para cifrar los datos.

Estructura CloudWatchEncryption

Especifica cómo se deben cifrar los datos de Amazon CloudWatch.

Campos

  • CloudWatchEncryptionMode: cadena UTF-8 (valores válidos: DISABLED | SSE-KMS="SSEKMS").

    Modo de cifrado que usar para datos de CloudWatch.

  • KmsKeyArn: cadena UTF-8 que coincide con el Custom string pattern #25.

    El nombre de recurso de Amazon (ARN) de la clave de KMS que utilizar para cifrar los datos.

Estructura JobBookmarksEncryption

Especifica cómo se deben cifrar los datos de los marcadores de trabajo.

Campos

  • JobBookmarksEncryptionMode: cadena UTF-8 (valores válidos: DISABLED | CSE-KMS="CSEKMS").

    Modo de cifrado que usar para datos de marcadores de trabajos.

  • KmsKeyArn: cadena UTF-8 que coincide con el Custom string pattern #25.

    El nombre de recurso de Amazon (ARN) de la clave de KMS que utilizar para cifrar los datos.

Estructura SecurityConfiguration

Especifica una configuración de seguridad.

Campos

  • Name: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    El nombre de la configuración de seguridad.

  • CreatedTimeStamp: marca temporal.

    El momento en que se creó esta configuración de seguridad.

  • EncryptionConfiguration: un objeto EncryptionConfiguration.

    La configuración de cifrado asociada con esta configuración de seguridad.

Estructura GluePolicy

Estructura para devolver una política de recursos.

Campos

  • PolicyInJson: cadena UTF-8 de 2 bytes de largo como mínimo.

    Contiene el documento de política solicitado, en formato JSON.

  • PolicyHash: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    Contiene el valor de hash asociado a esta política.

  • CreateTime: marca temporal.

    La fecha y hora en la que se creó la política.

  • UpdateTime: marca temporal.

    La fecha y hora en la que se actualizó la política por última vez.

Operaciones

Acción GetDataCatalogEncryptionSettings (Python: get_data_catalog_encryption_settings)

Recupera la configuración de seguridad para un catálogo especificado.

Solicitud

  • CatalogId: cadena de ID de catálogo, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    El ID del catálogo de datos para el que recuperar la configuración de seguridad. Si no se proporciona ninguno, se usará de forma predeterminada el ID de cuenta de AWS.

Respuesta
Errores

  • InternalServiceException

  • InvalidInputException

  • OperationTimeoutException

Acción PutDataCatalogEncryptionSettings (Python: put_data_catalog_encryption_settings)

Establece la configuración de seguridad para un catálogo especificado. Después de que se ha establecido la configuración, a partir de entonces, se aplicará el cifrado especificado a cada escritura de catálogos.

Solicitud

  • CatalogId: cadena de ID de catálogo, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    El ID del catálogo de datos para el que establecer la configuración de seguridad. Si no se proporciona ninguno, se usará de forma predeterminada el ID de cuenta de AWS.

  • DataCatalogEncryptionSettings: obligatorio: objeto DataCatalogEncryptionSettings.

    La configuración de seguridad que se va a establecer.

Respuesta

  • Sin parámetros de respuesta.

Errores

  • InternalServiceException

  • InvalidInputException

  • OperationTimeoutException

Acción PutResourcePolicy (Python: put_resource_policy)

Establece el catálogo de datos de política de recursos para el control de acceso.

Solicitud

  • PolicyInJson: obligatorio: cadena UTF-8 de 2 bytes de largo como mínimo.

    Contiene el documento de política para establecer, en formato JSON.

  • ResourceArn: cadena UTF-8, con 1 byte de largo como mínimo y 10 240 bytes de largo como máximo, que coincide con el Custom string pattern #22.

    No utilizar. Para uso interno únicamente.

  • PolicyHashCondition: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    El valor hash devuelto cuando la política anterior se ha establecido mediante PutResourcePolicy. Su objetivo es evitar modificaciones simultáneas de una política. No utilice este parámetro si no se ha establecido ninguna política anterior.

  • PolicyExistsCondition: cadena UTF-8 (valores válidos: MUST_EXIST | NOT_EXIST | NONE).

    Un valor de MUST_EXIST se utiliza para actualizar una política. Un valor de NOT_EXIST se utiliza para crear una política nueva. Si se utiliza el valor de NONE o un valor nulo, la llamada no dependerá de la existencia de una política.

  • EnableHybrid: cadena UTF-8 (valores válidos: TRUE | FALSE).

    Si se utiliza 'TRUE', significa que está utilizando ambos métodos para conceder acceso entre cuentas a recursos del Data Catalog:

    • Al actualizar directamente la política de recursos con PutResourePolicy

    • Al utilizar el comando Grant permissions (Concesión de permisos) en la AWS Management Console.

    Debe establecerse en 'TRUE' si ya ha utilizado Management Console para conceder acceso entre cuentas; de lo contrario, se producirá un error en la llamada. La opción predeterminada es 'FALSO'.

Respuesta

  • PolicyHash: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    Un hash de la política que se acaba de definir. Este debe incluirse en una llamada posterior que sobrescribe o actualiza esta política.

Errores

  • EntityNotFoundException

  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

  • ConditionCheckFailureException

Acción GetResourcePolicy (Python: get_resource_policy)

Recupera una política de recursos especificada.

Solicitud

  • ResourceArn: cadena UTF-8, con 1 byte de largo como mínimo y 10 240 bytes de largo como máximo, que coincide con el Custom string pattern #22.

    El ARN del recurso de AWS Glue para el que se recuperará la política de recursos. Si no se proporciona, se devuelve la política de recursos del Data Catalog. Use GetResourcePolicies para ver todas las políticas de recursos existentes. Para obtener más información, consulte Especificación de ARN de recursos de AWS Glue.

Respuesta

  • PolicyInJson: cadena UTF-8 de 2 bytes de largo como mínimo.

    Contiene el documento de política solicitado, en formato JSON.

  • PolicyHash: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    Contiene el valor de hash asociado a esta política.

  • CreateTime: marca temporal.

    La fecha y hora en la que se creó la política.

  • UpdateTime: marca temporal.

    La fecha y hora en la que se actualizó la política por última vez.

Errores

  • EntityNotFoundException

  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

Acción DeleteResourcePolicy (Python: delete_resource_policy)

Elimina una política especificada.

Solicitud

  • PolicyHashCondition: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    El valor de hash devuelto cuando esta política se definió.

  • ResourceArn: cadena UTF-8, con 1 byte de largo como mínimo y 10 240 bytes de largo como máximo, que coincide con el Custom string pattern #22.

    El ARN del recurso de AWS Glue para la política de recursos que se eliminará.

Respuesta

  • Sin parámetros de respuesta.

Errores

  • EntityNotFoundException

  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

  • ConditionCheckFailureException

Acción CreateSecurityConfiguration (Python: create_security_configuration)

Crea una nueva configuración de seguridad. Una configuración de seguridad es un conjunto de propiedades de seguridad que AWS Glue puede usar. Puede utilizar una configuración de seguridad para cifrar los datos en reposo. Para obtener información acerca de cómo usar configuraciones de seguridad en AWS Glue, consulte Cifrado de datos escritos por rastreadores, trabajos y puntos de enlace de desarrollo.

Solicitud

  • Name: obligatorio: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    El nombre de la nueva configuración de seguridad.

  • EncryptionConfigurationObligatorio: objeto EncryptionConfiguration.

    La configuración de cifrado para la nueva configuración de seguridad.

Respuesta

  • Name: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    El nombre asignado a la nueva configuración de seguridad.

  • CreatedTimestamp: marca temporal.

    El momento en que se creó la nueva configuración de seguridad.

Errores

  • AlreadyExistsException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

  • ResourceNumberLimitExceededException

Acción DeleteSecurityConfiguration (Python: delete_security_configuration)

Elimina una configuración de seguridad especificada.

Solicitud

  • Name: obligatorio: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    El nombre de la configuración de seguridad que se va a eliminar.

Respuesta

  • Sin parámetros de respuesta.

Errores

  • EntityNotFoundException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

Acción GetSecurityConfiguration (Python: get_security_configuration)

Recupera una configuración de seguridad especificada.

Solicitud

  • Name: obligatorio: cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el Single-line string pattern.

    El nombre de la configuración de seguridad que se va a recuperar.

Respuesta
Errores

  • EntityNotFoundException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

Acción GetSecurityConfigurations (Python: get_security_configurations)

Recupera una lista de todas las configuraciones de seguridad.

Solicitud

  • MaxResults: número (entero) que no es inferior a 1 ni es superior a 1000.

    El número máximo de resultados que devolver.

  • NextToken: cadena UTF-8.

    Token de continuación si se trata de una llamada de continuidad.

Respuesta

  • SecurityConfigurations: matriz de objetos SecurityConfiguration.

    Una lista de las configuraciones de seguridad.

  • NextToken: cadena UTF-8.

    Un token de continuación, si hay más configuraciones de seguridad que devolver.

Errores

  • EntityNotFoundException

  • InvalidInputException

  • InternalServiceException

  • OperationTimeoutException

Acción GetResourcePolicies (Python: get_resource_policies)

Recupera las políticas de recursos configuradas en recursos individuales por AWS Resource Access Manager durante la concesión de permisos entre cuentas. También recupera el la política de recursos del Data Catalog.

Si ha habilitado el cifrado de metadatos en la configuración del Data Catalog y no tiene permiso en la clave AWS KMS, la operación no puede devolver la política de recursos del Data Catalog.

Solicitud

  • NextToken: cadena UTF-8.

    Token de continuación, si se trata de una solicitud de continuidad.

  • MaxResults: número (entero) que no es inferior a 1 ni es superior a 1000.

    Tamaño máximo de una lista que se devolverá.

Respuesta

  • GetResourcePoliciesResponseList: matriz de objetos Política de Glue.

    Una lista de las políticas de recursos individuales y la política de recursos a nivel de cuenta.

  • NextToken: cadena UTF-8.

    Un token de continuación, si la lista devuelta no contiene la última política de recursos disponible.

Errores

  • InternalServiceException

  • OperationTimeoutException

  • InvalidInputException

  • GlueEncryptionException