Concesión de políticas administradas de AWS para AWS Glue
Una política administrada por AWS es una política independiente que AWS crea y administra. Las políticas administradas por AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.
Políticas administradas (predefinidas) por AWS para AWS Glue
AWS aborda muchos casos de uso comunes dando políticas de IAM independientes creadas y administradas por AWS. Estas políticas administradas por AWS conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos necesarios. Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.
Las siguientes políticas administradas de AWS, que puede asociar a las identidades de su cuenta, son específicas de AWS Glue y se agrupan según los escenarios de caso de uso:
-
AWSGlueConsoleFullAccess
: concede acceso total a los recursos de AWS Glue cuando una identidad a la que está asociada la política utiliza laAWS Management Console. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Por lo general, esta política se asocia a los usuarios de la consola de AWS Glue. -
AWSGlueServiceRole
: da acceso a recursos que precisan diversos procesos de AWS Glue para ejecutarse en su nombre. Entre estos recursos se incluyen AWS Glue, Amazon S3, IAM, CloudWatch Logs y Amazon EC2. Si aplica la convención de nomenclatura en los recursos especificados en esta política, los procesos de AWS Glue tienen los permisos necesarios. Normalmente, esta política se asocia a los roles que se especifican a la hora de definir rastreadores, trabajos y puntos de conexión de desarrollo. -
AwsGlueSessionUserRestrictedServiceRole
: da acceso completo a todos los recursos de AWS Glue, a excepción de las sesiones. Permite a los usuarios crear y utilizar solo las sesiones interactivas que están asociadas al usuario. Esta política incluye otros permisos que AWS Glue necesita para administrar recursos de AWS Glue en otros servicios de AWS. La política también permite agregar etiquetas a recursos de AWS Glue en otros servicios de AWS. nota
Para obtener todos los beneficios de seguridad, no conceda esta política a un usuario al que se le haya asignado la política
AWSGlueServiceRole,AWSGlueConsoleFullAccessoAWSGlueConsoleSageMakerNotebookFullAccess. -
AwsGlueSessionUserRestrictedPolicy
: proporciona acceso para crear sesiones interactivas de AWS Glue mediante la operación de la API CreateSessionsolo si se proporcionan un “propietario” de la clave de etiqueta y un valor que coincida con el ID de usuario de AWS del asignado. Esta política de identidad está asociada al usuario de IAM que invoca a la operación de la APICreateSession. Esta política también permite al asignado interactuar con los recursos de sesión interactiva de AWS Glue creados con una etiqueta de “propietario” y un valor que coincide con su ID de usuario de AWS. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue luego de que se crea la sesión.nota
Para obtener los beneficios de seguridad completos, no conceda esta política a un usuario al que se le haya asignado la política
AWSGlueServiceRole,AWSGlueConsoleFullAccessoAWSGlueConsoleSageMakerNotebookFullAccess. -
AwsGlueSessionUserRestrictedNotebookServiceRole
: proporciona suficiente acceso a la sesión del cuaderno de AWS Glue Studio para interactuar con recursos de sesión interactivos de AWS Glue específicos. Estos son recursos se crean con el valor de etiqueta de “propietario” que coincide con el ID de usuario de AWS de la entidad principal (usuario o rol de IAM) que crea el cuaderno. Para obtener más información sobre estas etiquetas, consulte el gráfico Valores clave de la entidad principal en la Guía del usuario de IAM. Esta política de rol de servicio se asocia al rol que se especifica con un comando mágico dentro del cuaderno o que se transfiere como un rol a la operación de la API
CreateSession. Esta política también permite a la entidad principal crear una sesión interactiva de AWS Glue desde la interfaz del cuaderno de AWS Glue Studio solo si una clave de etiqueta de “propietario” y un valor coinciden con el ID de usuario de AWS de la entidad principal. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue luego de que se crea la sesión. Esta política también incluye permisos para escribir y leer desde los buckets de Amazon S3, escribir registros de CloudWatch, y crear y eliminar etiquetas para los recursos de Amazon EC2 que utiliza AWS Glue.nota
Para obtener todos los beneficios de seguridad, no conceda esta política a un rol al que se le haya asignado la política
AWSGlueServiceRole,AWSGlueConsoleFullAccessoAWSGlueConsoleSageMakerNotebookFullAccess. -
AwsGlueSessionUserRestrictedNotebookPolicy
: proporciona acceso para crear una sesión interactiva de AWS Glue desde la interfaz del cuaderno de AWS Glue Studio solo si hay una clave de etiqueta de “propietario” y un valor que coinciden con el ID de usuario de AWS de la entidad principal (usuario o rol de IAM) que crea el cuaderno. Para obtener más información sobre estas etiquetas, consulte el gráfico Valores clave de la entidad principal en la Guía del usuario de IAM. Esta política se adjunta a la entidad principal (usuario o rol de IAM) que crea sesiones a partir de la interfaz del cuaderno de AWS Glue Studio. Esta política también permite un acceso suficiente al cuaderno de AWS Glue Studio para interactuar con recursos de sesión interactivos de AWS Glue específicos. Se trata de recursos que se crean con el valor de la etiqueta “propietario” que coincide con el ID de usuario de AWS de la entidad principal. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue luego de que se crea la sesión.
-
AWSGlueServiceNotebookRole
: concede acceso a sesiones de AWS Glue iniciadas en un cuaderno de AWS Glue Studio. Esta política permite enumerar y obtener información de sesión de todas las sesiones, pero solo permite a los usuarios crear y utilizar las sesiones etiquetadas con su ID de usuario de AWS. Esta política deniega el permiso para cambiar o eliminar etiquetas de “propietario” de recursos de sesión de AWS Glue etiquetados con sus ID de AWS. Asigne esta política al usuario de AWS que crea trabajos con la interfaz del bloc de notas en AWS Glue Studio.
-
AWSGlueConsoleSageMakerNotebookFullAccess
: concede acceso completo a los recursos de AWS Glue e IA de SageMaker cuando la identidad a la que la política está asociada utiliza la AWS Management Console. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Por lo general, esta política se asocia a los usuarios de la consola de AWS Glue que administran los cuadernos de IA de SageMaker. -
AWSGlueSchemaRegistryFullAccess
: concede acceso completo a recursos de Schema Registry de AWS Glue cuando la identidad a la que la política está asociada utiliza la AWS Management Console o la AWS CLI. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Por lo general, esta política se asocia a los usuarios de la consola de AWS Glue o la AWS CLI que administran Schema Registry de AWS Glue. -
AWSGlueSchemaRegistryReadonlyAccess
: concede acceso de solo lectura a recursos de Schema Registry de AWS Glue cuando una identidad a la que la política está asociada utiliza la AWS Management Console o la AWS CLI. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Por lo general, esta política se asocia a los usuarios de la consola de AWS Glue o la AWS CLI que utilizan Schema Registry de AWS Glue.
nota
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las políticas específicas.
También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las acciones y recursos de AWS Glue. Puede asociar estas políticas personalizadas a los grupos o usuarios de IAM que requieran esos permisos.
AWS Glue se actualiza a las políticas administradas de AWS
Es posible consultar los detalles sobre las actualizaciones de AWS las políticas administradas de para AWS Glue debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de AWS Glue.
| Cambio | Descripción | Fecha |
|---|---|---|
| AWSGlueSessionUserRestrictedNotebookPolicy: actualización menor de una política ya existente. | Agregue el permiso de acción glue:TagResource en la clave de la etiqueta de propietario. Necesario para admitir tag-on-create para las sesiones con clave de etiqueta de propietario. |
30 de agosto de 2024 |
| AWSGlueSessionUserRestrictedNotebookServiceRole: actualización menor de una política existente. | Agregue el permiso de acción glue:TagResource en la clave de la etiqueta de propietario. Necesario para admitir tag-on-create para las sesiones con clave de etiqueta de propietario. |
30 de agosto de 2024 |
| AWSGlueSessionUserRestrictedPolicy: actualización menor de una política existente. | Agregue el permiso de acción glue:TagResource en la clave de la etiqueta de propietario. Necesario para admitir tag-on-create para las sesiones con clave de etiqueta de propietario. |
5 de agosto de 2024 |
| AWSGlueSessionUserRestrictedServiceRole: actualización menor de una política existente. | Agregue el permiso de acción glue:TagResource en la clave de la etiqueta de propietario. Necesario para admitir tag-on-create para las sesiones con clave de etiqueta de propietario. |
5 de agosto de 2024 |
| AWSGlueSessionUserRestrictedPolicy: actualización menor de una política existente. | Agregar glue:StartCompletion y glue:GetCompletion a la política. Es necesaria para la integración de datos de Amazon Q en AWS Glue. |
30 de abril de 2024 |
| AWSGlueSessionUserRestrictedNotebookServiceRole: actualización menor de una política existente. | Agregar glue:StartCompletion y glue:GetCompletion a la política. Es necesaria para la integración de datos de Amazon Q en AWS Glue. |
30 de abril de 2024 |
| AWSGlueSessionUserRestrictedServiceRole: actualización menor de una política existente. | Agregar glue:StartCompletion y glue:GetCompletion a la política. Es necesaria para la integración de datos de Amazon Q en AWS Glue. |
30 de abril de 2024 |
| AWSGlueServiceNotebookRole: actualización menor de una política ya existente. | Agregar glue:StartCompletion y glue:GetCompletion a la política. Es necesaria para la integración de datos de Amazon Q en AWS Glue. |
30 de enero de 2024 |
| AWSGlueSessionUserRestrictedNotebookPolicy: actualización menor de una política ya existente. | Agregar glue:StartCompletion y glue:GetCompletion a la política. Es necesaria para la integración de datos de Amazon Q en AWS Glue. |
29 de noviembre de 2023 |
| AWSGlueServiceNotebookRole: actualización menor de una política ya existente. | Agregar codewhisperer:GenerateRecommendations a la política. Obligatorio para una nueva característica en la que AWS Glue genera recomendaciones de CodeWhisperer. |
9 de octubre de 2023 |
|
AWSGlueServiceRole: actualización menor de una política ya existente. |
Reducir el alcance de los permisos de CloudWatch para reflejar mejor el registro de AWS Glue. | 4 de agosto de 2023 |
|
AWSGlueConsoleFullAccess: actualización menor de una política ya existente. |
Agregar una lista de recetas de databrew y describir los permisos a la política. Se requiere para proporcionar acceso administrativo completo a las nuevas características en las que AWS Glue puede acceder a las recetas. |
9 de mayo de 2023 |
|
AWSGlueConsoleFullAccess: actualización menor de una política existente. |
Agregar cloudformation:ListStacks a la política. Conserva las capacidades existentes tras los cambios en los requisitos de autorización de AWS CloudFormation. |
28 de marzo de 2023 |
|
Se agregaron nuevas políticas administradas para la característica de sesiones interactivas:
|
Estas políticas se diseñaron para proporcionar seguridad adicional para las sesiones interactivas y los cuadernos en AWS Glue Studio. Las políticas restringen el acceso a la operación de la API |
30 de noviembre de 2021 |
|
AWSGlueConsoleSageMakerNotebookFullAccess: actualización de una política existente. |
Se eliminó un ARN de recurso redundante ( Se corrigió un problema de sintaxis al cambiar |
15 de julio de 2021 |
|
AWSGlueConsoleFullAccess: actualización de una política existente. |
Se eliminó un ARN de recurso redundante (arn:aws:s3:::aws-glue-*/*) para la acción que concede permisos de lectura/escritura en los buckets de Amazon S3 que AWS Glue utiliza para almacenar scripts y archivos temporales. |
15 de julio de 2021 |
|
AWS Glue comenzó el seguimiento de los cambios. |
AWS Glue comenzó el seguimiento de los cambios de las políticas administradas de AWS. | 10 de junio de 2021 |
