Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Revisar los permisos de IAM necesarios para trabajos de ETL.

Cuando crea un trabajo con AWS Glue Studio, el trabajo asume los permisos del rol de IAM que se especifica al crear el trabajo. Este rol de IAM debe tener permiso para extraer datos de su origen de datos, escribir en su destino y acceder a recursos de AWS Glue.

El nombre del rol que cree para el trabajo debe comenzar con la cadena AWSGlueServiceRole para que AWS Glue Studio lo utilice correctamente. Por ejemplo, podría asignar el siguiente nombre a su rol: AWSGlueServiceRole-FlightDataJob.

Permisos de origen de datos y destino de datos

Un trabajo de AWS Glue Studio debe tener acceso a Amazon S3 para todos los orígenes, destinos, scripts y directorios temporales que utilice en su trabajo. Puede crear una política para proporcionar un acceso detallado a determinados recursos de Amazon S3.

Si elige Amazon Redshift como origen de datos, puede proporcionar un rol para los permisos de clúster. Los trabajos que se ejecutan respecto de un clúster de Amazon Redshift envían comandos que acceden a Amazon S3 para el almacenamiento temporal mediante credenciales temporales. Si el trabajo se ejecuta durante más de una hora, estas credenciales caducarán, y provocarán un error en el trabajo. Para evitar este problema, puede asignar un rol al clúster de Amazon Redshift que conceda los permisos necesarios a los trabajos que utilizan credenciales temporales. Para obtener más información, consulte Movimiento de datos desde y hacia Amazon Redshift en la Guía para desarrolladores de AWS Glue.

Si el trabajo utiliza orígenes o destinos de datos distintos de Amazon S3, debe asociar los permisos necesarios al rol de IAM utilizado por el trabajo para acceder a estos orígenes y destinos de datos. Para obtener más información, consulte Configuración del entorno para obtener acceso a almacenes de datos en la Guía para desarrolladores de AWS Glue.

Si utiliza conectores y conexiones para el almacén de datos, necesita permisos adicionales, como se describe en Permisos necesarios para utilizar conectores.

Permisos necesarios para eliminar trabajos

En AWS Glue Studio, puede seleccionar múltiples trabajos para eliminar en la consola. Para realizar esta acción, debe tener el permiso glue:BatchDeleteJob. Esto es diferente de la consola de AWS Glue, que requiere el permiso glue:DeleteJob para eliminar trabajos.

Permisos de AWS Key Management Service

Si tiene previsto acceder a orígenes y destinos de Amazon S3 que utilizan cifrado del lado del servidor con AWS Key Management Service (AWS KMS), adjunte una política al rol de AWS Glue Studio utilizado por el trabajo que permita al trabajo descifrar los datos. El rol del trabajo necesita los permisos kms:ReEncrypt, kms:GenerateDataKey y kms:DescribeKey. Además, el rol del trabajo necesita el permiso kms:Decrypt para cargar o descargar un objeto de Amazon S3 cifrado con una clave maestra del cliente (CMK) AWS KMS.

La utilización de CMK de AWS KMS conlleva cargos adicionales. Para obtener más información, consulte Conceptos de AWS Key Management Service: claves maestras del cliente (CMK) y Precios de AWS Key Management Service en la Guía para desarrolladores de AWS Key Management Service.

Permisos necesarios para utilizar conectores

Si utiliza un conector personalizado y conexión de AWS Glue para acceder a un almacén de datos, el rol utilizado para ejecutar el trabajo de ETL de AWS Glue necesita permisos adicionales asociados:

Si sus trabajos de ETL de AWS Glue se ejecutan en una VPC que ejecuta Amazon VPC, la VPC debe configurarse como se describe en Configurar una VPC para su trabajo de ETL.