Paso 2: creación de un rol de IAM para AWS Glue
Tiene que conceder sus permisos de rol de IAM que AWS Glue pueda asumir cuando llame a otros servicios en su nombre. Esto incluye el acceso a Amazon S3 para todos los orígenes, los destinos, los scripts y los directorios temporales que utilice con AWS Glue. Los rastreadores, los trabajos y los puntos de enlace de desarrollo necesitan permiso.
Estos permisos los concede utilizando AWS Identity and Access Management (IAM). Agregue una política al rol de IAM que transfiera a AWS Glue.
Para crear un rol de IAM para AWS Glue
Inicie sesión en AWS Management Console Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación izquierdo, seleccione Roles.
-
Elija Crear rol.
-
Elija Servicio de AWS como tipo de entidad de confianza. Luego, para el servicio o caso de uso, busque y elija AWS Glue. Elija Siguiente.
-
En la página Agregar permisos, elija las políticas que contienen los permisos necesarios; por ejemplo, la política administrada por AWS,
AWSGlueServiceRole, para permisos de AWS Glue generales y la política administrada de AWS, AmazonS3FullAccess, para obtener acceso a los recursos de Amazon S3. A continuación, elija Next.nota
Asegúrese de que una de las políticas de este rol conceda permisos a sus orígenes y destinos de Amazon S3. Es posible que le interese proporcionar su propia política para obtener acceso a determinados recursos de Amazon S3. Los orígenes de datos requieren permisos
s3:ListBucketys3:GetObject. Los destinos de datos requieren permisoss3:ListBucket,s3:PutObjectys3:DeleteObject. Para obtener más información acerca de la creación de una política de Amazon S3 para sus recursos, consulte Especificación de recursos en una política. Para ver un ejemplo de política de Amazon S3, consulte Cómo escribir políticas de IAM: cómo conceder acceso a un bucket de Amazon S3. Si tiene previsto obtener acceso a orígenes y destinos de Amazon S3 cifrados con SSE-KMS, asocie una política que permita a los rastreadores, trabajos y puntos de enlace de desarrollo de AWS Glue descifrar los datos. Para obtener más información, consulte Proteger los datos utilizando cifrado del lado del servidor con claves administradas por AWS KMS (SSE-KMS).
A continuación, se muestra un ejemplo.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "kms:Decrypt" ], "Resource":[ "arn:aws:kms:*:account-id-without-hyphens:key/key-id" ] } ] } -
Asigne un nombre a su función y añada una descripción (opcional) y, a continuación, revise la política de confianza y los permisos. En Role Name (Nombre del rol), escriba un nombre para el rol, por ejemplo,
AWSGlueServiceRoleDefault. Cree el rol con el nombre prefijado con la cadenaAWSGlueServiceRolepara permitir que se transfiera el rol desde usuarios de la consola al servicio. Las políticas proporcionadas por AWS Glue esperan que los roles de servicio de IAM comiencen conAWSGlueServiceRole. De lo contrario, deberá agregar una política para permitir a sus usuarios que el permisoiam:PassRolepara roles de IAM coincida con la convención de denominación. Seleccione Crear rol.nota
Cuando se crea un cuaderno con un rol, ese rol se pasa a las sesiones interactivas para que se pueda utilizar el mismo rol en ambos lugares. Como tal, el permiso
iam:PassRoledebe formar parte de la política del rol.Cree una nueva política para el rol mediante el siguiente ejemplo. Reemplace el número de cuenta por el suyo y por el nombre del rol.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::090000000210:role/<role_name>" } ] } -
Añada etiquetas a su rol (opcional). Las etiquetas son pares clave-valor que puede añadir a los recursos AWS para ayudar a identificar, organizar o buscar recursos. A continuación, elija Create role (Crear rol).
