Paso 4: Crear una política de IAM para servidores de blocs de notas - AWS Glue

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 4: Crear una política de IAM para servidores de blocs de notas

Si pretende utilizar blocs de notas con puntos de enlace de desarrollo, debe especificar permisos al crear el servidor de bloc de notas. Estos permisos los concede utilizando AWS Identity and Access Management (IAM).

Esta política concede permiso para que algunas acciones de Amazon S3 administren recursos de su cuenta que AWS Glue necesita cuando asume el rol con esta política. Algunos de los recursos que se especifican en esta política hacen referencia a nombres predeterminados que AWS Glue utiliza para buckets de Amazon S3, scripts de ETL de Amazon S3 y recursos de Amazon EC2. De forma predeterminada y para mayor simplicidad, AWS Glue escribe algunos objetos de Amazon S3 en buckets de su cuenta con el prefijo aws-glue-*.

nota

Puede omitir este paso si utiliza la política administrada de AWS, AWSGlueServiceNotebookRole.

En este paso, crea una política que es similar a AWSGlueServiceNotebookRole. Puede encontrar la versión más actualizada de AWSGlueServiceNotebookRole en la consola de IAM.

Para crear una política de IAM para blocs de notas

  1. Inicie sesión en AWS Management Console Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación izquierdo, elija Policies (Políticas).

  3. Seleccione Crear política.

  4. En la pantalla Create Policy (Crear política) vaya a una pestaña para editar JSON. Cree un documento de política con las instrucciones JSON siguientes y, a continuación, elija Review policy (Revisar política).

    {  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "glue:CreateDatabase",
            "glue:CreatePartition",
            "glue:CreateTable",
            "glue:DeleteDatabase",
            "glue:DeletePartition",
            "glue:DeleteTable",
            "glue:GetDatabase",
            "glue:GetDatabases",
            "glue:GetPartition",
            "glue:GetPartitions",
            "glue:GetTable",
            "glue:GetTableVersions",
            "glue:GetTables",
            "glue:UpdateDatabase",
            "glue:UpdatePartition",
            "glue:UpdateTable",
            "glue:GetJobBookmark",
            "glue:ResetJobBookmark",
            "glue:CreateConnection",
            "glue:CreateJob",
            "glue:DeleteConnection",
            "glue:DeleteJob",
            "glue:GetConnection",
            "glue:GetConnections",
            "glue:GetDevEndpoint",
            "glue:GetDevEndpoints",
            "glue:GetJob",
            "glue:GetJobs",
            "glue:UpdateJob",
            "glue:BatchDeleteConnection",
            "glue:UpdateConnection",
            "glue:GetUserDefinedFunction",
            "glue:UpdateUserDefinedFunction",
            "glue:GetUserDefinedFunctions",
            "glue:DeleteUserDefinedFunction",
            "glue:CreateUserDefinedFunction",
            "glue:BatchGetPartition",
            "glue:BatchDeletePartition",
            "glue:BatchCreatePartition",
            "glue:BatchDeleteTable",
            "glue:UpdateDevEndpoint",
            "s3:GetBucketLocation",
            "s3:ListBucket",
            "s3:ListAllMyBuckets",
            "s3:GetBucketAcl"
         ],
         "Resource":[  
            "*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "s3:GetObject"
         ],
         "Resource":[  
            "arn:aws:s3:::crawler-public*",
            "arn:aws:s3:::aws-glue*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "s3:PutObject",
            "s3:DeleteObject"			
         ],
         "Resource":[  
            "arn:aws:s3:::aws-glue*"
         ]
      },
      {  
         "Effect":"Allow",
         "Action":[  
            "ec2:CreateTags",
            "ec2:DeleteTags"
         ],
         "Condition":{  
            "ForAllValues:StringEquals":{  
               "aws:TagKeys":[  
                  "aws-glue-service-resource"
               ]
            }
         },
         "Resource":[  
            "arn:aws:ec2:*:*:network-interface/*",
            "arn:aws:ec2:*:*:security-group/*",
            "arn:aws:ec2:*:*:instance/*"
         ]
      }
   ]
}

    En la siguiente tabla se describen los permisos que esta política concede.

    Action Resource Descripción

    "glue:*"

    "*"

    Concede permiso para ejecutar todas las operaciones de la API de AWS Glue.

    "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketAcl"

    "*"

    Permite crear listados de los buckets de Amazon S3 a partir de servidores de blocs de notas.

    "s3:GetObject"

    "arn:aws:s3:::crawler-public*", "arn:aws:s3:::aws-glue-*"

    Permite obtener objetos de Amazon S3 que utilizan los ejemplos y tutoriales de los blocs de notas.

    Convención de denominación: los nombres de bucket de Amazon S3 comienzan con crawler-public y aws-glue-.

    "s3:PutObject", "s3:DeleteObject"

    "arn:aws:s3:::aws-glue*"

    Permite colocar y eliminar objetos de Amazon S3 en su cuenta desde blocs de notas.

    Convención de denominación: utiliza carpetas de Amazon S3 denominadas aws-glue.

    "ec2:CreateTags", "ec2:DeleteTags"

    "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:instance/*"

    Permite el etiquetado de recursos de Amazon EC2 creados para servidores de blocs de notas.

    Convención de denominación: AWS Glue etiqueta instancias Amazon EC2 con aws-glue-service-resource.

  5. En la pantalla Review Policy (Revisar política), escriba su Policy Name (Nombre de política); por ejemplo, GlueServiceNotebookPolicyDefault. Escriba una descripción opcional y, cuando quede satisfecho con la política, elija Create Policy (Crear política).