Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Introducción a los cuaderno en AWS Glue Studio
Al iniciar un cuaderno a través de AWS Glue Studio, todos los pasos de configuración se hacen por usted para que, después de unos segundos, pueda explorar los datos y comenzar a desarrollar el script de trabajo.
Las siguientes secciones describen cómo crear un rol y otorgar los permisos adecuados para utilizar cuadernos en AWS Glue Studio para trabajos de ETL.
Para obtener más información sobre las acciones definidas por AWS Glue, consulte Acciones definidas por AWS Glue.
Concesión de permisos para el rol de IAM
Configurar AWS Glue Studio es un requisito previo para utilizar cuadernos.
Para utilizar cuadernos en AWS Glue, la función requiere lo siguiente:
-
Una relación de confianza con AWS Glue para la acción
sts:AssumeRoley, si desea etiquetar,sts:TagSession. -
Una política de IAM que contenga todos los permisos para cuadernos, AWS Glue y sesiones interactivas.
-
Una política de IAM para un rol de pase, ya que el rol debe poder pasarse a sí mismo desde el cuaderno a sesiones interactivas.
Por ejemplo, cuando crea un nuevo rol, puede agregar una política administrada de AWS estándar como AWSGlueConsoleFullAccessRole al rol y luego agregar una nueva política para las operaciones del cuaderno y otra para la política IAM PassRole.
Acciones necesarias para una relación de confianza con AWS Glue
Al iniciar una sesión de cuaderno, se debe agregar sts:AssumeRole a la relación de confianza del rol que se pase al cuaderno. Si la sesión incluye etiquetas, también se debe pasar la acción sts:TagSession. Sin estas acciones, la sesión del cuaderno no puede iniciarse.
Por ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "glue.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Políticas que contienen permisos de IAM para cuadernos
La siguiente política de ejemplo describe los permisos de AWS IAM requeridos para cuadernos. Si va a crear un nuevo rol, cree una política que contenga lo siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:StartNotebook", "glue:TerminateNotebook", "glue:GlueNotebookRefreshCredentials", "glue:DeregisterDataPreview", "glue:GetNotebookInstanceStatus", "glue:GlueNotebookAuthorize" ], "Resource": "*" } ] }
Puede utilizar las siguientes políticas de IAM para permitir el acceso a recursos específicos:
-
AwsGlueSessionUserRestrictedNotebookServiceRole: proporciona acceso completo a todos los recursos de AWS Glue, excepto las sesiones. Permite a los usuarios crear y utilizar solo las sesiones de cuadernos que estén asociadas a esos usuarios. Esta política también incluye otros permisos que AWS Glue necesita para administrar recursos de AWS Glue en otros servicios de AWS.
-
AwsGlueSessionUserRestrictedNotebookPolicy: proporciona permisos que permiten a los usuarios crear y utilizar solo las sesiones de cuadernos que estén asociadas a esos usuarios. Esta política también incluye permisos para que los usuarios puedan pasar expresamente un rol de sesión de AWS Glue restringida.
Política de IAM para pasar un rol
Cuando se crea un cuaderno con un rol, ese rol se pasa a las sesiones interactivas para que se pueda utilizar el mismo rol en ambos lugares. Como tal, el permiso iam:PassRole debe formar parte de la política del rol.
Cree una nueva política para el rol mediante el siguiente ejemplo. Reemplace el número de cuenta por el suyo y por el nombre del rol.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::090000000210:role/<role_name>" } ] }
