AWS políticas gestionadas (predefinidas) para AWS Glue Actualizaciones de políticas

Concesión de políticas AWS gestionadas para AWS Glue

Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando haya nuevas API operaciones disponibles para los servicios existentes.

Para obtener más información, consulte las políticas AWS administradas en la Guía del IAM usuario.

AWS políticas gestionadas (predefinidas) para AWS Glue

AWS aborda muchos casos de uso comunes al proporcionar IAM políticas independientes que son creadas y administradas por AWS. Estas políticas AWS administradas otorgan los permisos necesarios para casos de uso comunes, de modo que no tenga que investigar qué permisos son necesarios. Para obtener más información, consulte las políticas AWS administradas en la Guía del IAM usuario.

Las siguientes políticas AWS administradas, que puede adjuntar a las identidades de su cuenta, son específicas AWS Glue y están agrupadas por escenarios de uso:

AWSGlueConsoleFullAccess— Otorga acceso total a AWS Glue los recursos cuando una identidad a la que está asociada la política utiliza la AWS Management Console. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Esta política se suele adjuntar a los usuarios de la consola AWS Glue.
AWSGlueServiceRole— Otorga acceso a los recursos que varios AWS Glue procesos requieren para ejecutarse en su nombre. Estos recursos incluyen AWS Glue Amazon S3IAM, CloudWatch Logs y AmazonEC2. Si aplica la convención de nomenclatura en los recursos especificados en esta política, los procesos de AWS Glue tienen los permisos necesarios. Normalmente, esta política se asocia a los roles que se especifican a la hora de definir rastreadores, trabajos y puntos de conexión de desarrollo.
AwsGlueSessionUserRestrictedServiceRole— Proporciona acceso completo a todos los AWS Glue recursos, excepto a las sesiones. Permite a los usuarios crear y utilizar solo las sesiones interactivas que están asociadas al usuario. Esta política incluye otros permisos necesarios AWS Glue para administrar AWS Glue los recursos en otros AWS servicios. La política también permite añadir etiquetas a AWS Glue los recursos de otros AWS servicios.

nota
Para obtener los beneficios de seguridad completos, no conceda esta política a un usuario al que se le haya asignado la política AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.
AwsGlueSessionUserRestrictedPolicy— Proporciona acceso para crear sesiones AWS Glue interactivas mediante la CreateSession API operación solo si se proporcionan una clave de etiqueta («propietario» y un valor que coincidan con el ID de AWS usuario del cesionario). Esta política de identidad se adjunta al IAM usuario que invoca la operación. CreateSession API Esta política también permite al cesionario interactuar con los recursos de sesión AWS Glue interactiva que se crearon con una etiqueta de «propietario» y un valor que coincidan con su AWS ID de usuario. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue luego de que se crea la sesión.

nota
Para obtener los beneficios de seguridad completos, no conceda esta política a un usuario al que se le haya asignado la política AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.
AwsGlueSessionUserRestrictedNotebookServiceRole— Proporciona acceso suficiente a la sesión del AWS Glue Studio bloc de notas para interactuar con recursos específicos de la sesión AWS Glue interactiva. Se trata de recursos que se crean con el valor de la etiqueta «propietario» que coincide con el AWS seudónimo del principal (IAMusuario o rol) que creó el bloc de notas. Para obtener más información sobre estas etiquetas, consulte la tabla de valores clave principales de la Guía del IAM usuario.

Esta política de rol de servicio está asociada al rol que se especifica con una orden mágica en el bloc de notas o se transfiere como rol a la CreateSession API operación. Esta política también permite al director crear una sesión AWS Glue interactiva desde la interfaz del AWS Glue Studio bloc de notas solo si la clave «propietario» y el valor coinciden con el AWS seudónimo del director. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue luego de que se crea la sesión. Esta política también incluye permisos para escribir y leer desde buckets de Amazon S3, escribir CloudWatch registros y crear y eliminar etiquetas para EC2 los recursos de Amazon utilizados porAWS Glue.

nota
Para obtener todos los beneficios de seguridad, no conceda esta política a un rol al que se le haya asignado la política AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.
AwsGlueSessionUserRestrictedNotebookPolicy— Solo permite crear una sesión AWS Glue interactiva desde la interfaz del AWS Glue Studio bloc de notas si hay una clave de etiqueta («propietario») y un valor que coincidan con IDof el AWS usuario principal (IAMusuario o rol) que creó el bloc de notas. Para obtener más información sobre estas etiquetas, consulte la tabla de valores clave principales de la Guía del IAM usuario.

Esta política se adjunta al director (IAMusuario o rol) que crea las sesiones desde la interfaz del AWS Glue Studio bloc de notas. Esta política también permite un acceso suficiente al cuaderno de AWS Glue Studio para interactuar con recursos de sesión interactivos de AWS Glue específicos. Se trata de recursos que se crean con el valor de la etiqueta «propietario» que coincide con el ID de AWS usuario del director. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue luego de que se crea la sesión.
AWSGlueServiceNotebookRole— Concede acceso a AWS Glue las sesiones iniciadas en un AWS Glue Studio cuaderno. Esta política permite enumerar y obtener la información de todas las sesiones, pero solo permite a los usuarios crear y usar las sesiones etiquetadas con su AWS seudónimo. Esta política deniega el permiso para cambiar o eliminar las etiquetas de «propietario» de los recursos de AWS Glue sesión etiquetadas con su AWS ID.

Asigne esta política al AWS usuario que crea trabajos mediante la interfaz del bloc de notas deAWS Glue Studio.
AWSGlueConsoleSageMakerNotebookFullAccess— Otorga acceso completo a AWS Glue y a SageMaker los recursos cuando la identidad a la que se adjunta la política utiliza el AWS Management Console. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Esta política suele estar asociada a los usuarios de la AWS Glue consola que gestionan SageMaker ordenadores portátiles.
AWSGlueSchemaRegistryFullAccess— Concede acceso total a los recursos de AWS Glue Schema Registry cuando la identidad a la que está asociada la política utiliza la tecla AWS Management Console o AWS CLI. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Esta política suele estar asociada a los usuarios de la AWS Glue consola o AWS CLI que administran el registro de AWS Glue esquemas.
AWSGlueSchemaRegistryReadonlyAccess— Concede acceso de solo lectura a los recursos del Registro de AWS Glue esquemas cuando una identidad a la que está asociada la política utiliza la AWS Management Console tecla o. AWS CLI Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Esta política suele estar asociada a los usuarios de la AWS Glue consola o AWS CLI que utilizan el registro de AWS Glue esquemas.

nota

Para revisar estas políticas de permisos, inicia sesión en la IAM consola y busca allí políticas específicas.

También puedes crear tus propias IAM políticas personalizadas para permitir permisos para las acciones y los recursos de AWS Glue. Puedes adjuntar estas políticas personalizadas a los IAM usuarios o grupos que requieran esos permisos.

AWS Glue actualiza las políticas AWS gestionadas

Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de AWS Glue desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbete al RSS feed de la página de historial del documento de AWS Glue.

Cambio	Descripción	Fecha
AwsGlueSessionUserRestrictedPolicy — Actualización menor de una política existente.	Agregue el permiso de acción `glue:TagResource` en la clave de la etiqueta de propietario. Necesario para apoyar las tag-on-create sesiones con la etiqueta de propietario.	5 de agosto de 2024
AwsGlueSessionUserRestrictedServiceRole — Actualización menor de una política existente.	Agregue el permiso de acción `glue:TagResource` en la clave de la etiqueta de propietario. Necesario para apoyar las tag-on-create sesiones con la etiqueta de propietario.	5 de agosto de 2024
AwsGlueSessionUserRestrictedPolicy — Actualización menor de una política existente.	Agregar `glue:StartCompletion` y `glue:GetCompletion` a la política. Necesario para la integración de datos de Amazon Q en AWS Glue.	30 de abril de 2024
AwsGlueSessionUserRestrictedNotebookServiceRole — Actualización menor de una política existente.	Agregar `glue:StartCompletion` y `glue:GetCompletion` a la política. Necesario para la integración de datos de Amazon Q en AWS Glue.	30 de abril de 2024
AwsGlueSessionUserRestrictedServiceRole — Actualización menor de una política existente.	Agregar `glue:StartCompletion` y `glue:GetCompletion` a la política. Necesario para la integración de datos de Amazon Q en AWS Glue.	30 de abril de 2024
AWSGlueServiceNotebookRole— Actualización menor de una política existente.	Agregar `glue:StartCompletion` y `glue:GetCompletion` a la política. Necesario para la integración de datos de Amazon Q en AWS Glue.	30 de enero de 2024
AwsGlueSessionUserRestrictedNotebookPolicy — Actualización menor de una política existente.	Agregar `glue:StartCompletion` y `glue:GetCompletion` a la política. Necesario para la integración de datos de Amazon Q en AWS Glue.	29 de noviembre de 2023
AWSGlueServiceNotebookRole— Actualización menor de una política existente.	Agregar `codewhisperer:GenerateRecommendations` a la política. Necesario para una nueva función en la que AWS Glue genera CodeWhisperer recomendaciones.	9 de octubre de 2023
AWSGlueServiceRole— Actualización menor de una política existente.	Reduzca el alcance de CloudWatch los permisos para reflejar mejor el registro de AWS Glue.	4 de agosto de 2023
AWSGlueConsoleFullAccess— Actualización menor de una política existente.	Agregar una lista de recetas de `databrew` y describir los permisos a la política. Necesario para proporcionar acceso administrativo completo a las nuevas funciones en las que AWS Glue puede acceder a las recetas.	9 de mayo de 2023
AWSGlueConsoleFullAccess— Actualización menor de una política existente.	Agregar `cloudformation:ListStacks` a la política. Conserva las capacidades existentes tras los cambios en los requisitos de AWS CloudFormation autorización.	28 de marzo de 2023
Se agregaron nuevas políticas administradas para la característica de sesiones interactivas: AwsGlueSessionUserRestrictedServiceRole AwsGlueSessionUserRestrictedPolicy AwsGlueSessionUserRestrictedNotebookServiceRole AwsGlueSessionUserRestrictedNotebookPolicy	Estas políticas se diseñaron para proporcionar seguridad adicional para las sesiones interactivas y los cuadernos en AWS Glue Studio. Las políticas restringen el acceso a la `CreateSession` API operación para que solo el propietario tenga acceso.	30 de noviembre de 2021
AWSGlueConsoleSageMakerNotebookFullAccess: actualización de una política existente.	Se ha eliminado un recurso redundante ARN (`arn:aws:s3:::aws-glue-/`) para la acción que concede permisos de lectura y escritura en los buckets de Amazon S3 que se AWS Glue utilizan para almacenar scripts y archivos temporales. Se corrigió un problema de sintaxis al cambiar `"StringEquals"` a `"ForAnyValue:StringLike"`, y se movieron las líneas `"Effect": "Allow"` para que precedan a la línea `"Action":` en las instancias en la que no funcionaban.	15 de julio de 2021
AWSGlueConsoleFullAccess: actualización de una política existente.	Se ha eliminado un recurso redundante ARN (`arn:aws:s3:::aws-glue-/`) para la acción que concede permisos de lectura y escritura en los buckets de Amazon S3 que se AWS Glue utilizan para almacenar scripts y archivos temporales.	15 de julio de 2021
AWS Glue comenzó el seguimiento de los cambios.	AWS Gluecomenzó a realizar un seguimiento de los cambios de sus políticas gestionadas. AWS	10 de junio de 2021

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en recursos

Especificar AWS Glue el recurso ARNs