Configuración de permisos de IAM para AWS Glue

Para configurar los permisos de IAM para AWS Glue en la AWS Management Console

1. Inicie sesión en la AWS Management Console y abra la consola de AWS Glue en https://console.aws.amazon.com/glue/.

2. Elija Empezar.

3. En Preparar su cuenta para AWS Glue, seleccione Configurar permisos de IAM.

4. Elige las identidades de IAM (roles o usuarios) a las que quieres conceder permisos AWS Glue. AWS Glue adjunta la política gestionada de AWSGlueConsoleFullAccess a estas identidades. Puede omitir este paso si desea configurar estos permisos de forma manual o solo desea establecer un rol de servicio predeterminado.

5. Elija Siguiente.

6. Elija el nivel de acceso a Amazon S3 que necesitan sus roles y usuarios. Las opciones que elija en este paso se aplican a todas las identidades que haya seleccionado.

   1. En Elegir ubicaciones de S3, elija las ubicaciones de Amazon S3 a las que quiere conceder acceso.

   2. A continuación, seleccione si sus identidades deben tener acceso de Solo lectura (recomendado) o acceso de lectura y escritura a las ubicaciones que seleccionó anteriormente. AWS Glue agrega políticas de permisos a sus identidades en función de la combinación de ubicaciones y los permisos de lectura o escritura que seleccione.

      En la siguiente tabla se muestran los permisos que AWS Glue adjunta al acceso a Amazon S3.

      Si elige...	AWS Glue adjunta...
      Sin cambios	Sin permisos. AWS Glue no realizará ningún cambio en los permisos de su identidad.
      Conceder acceso a ubicaciones específicas de Amazon S3 (solo lectura)	La política administrada por el cliente, AWSGlueConsole-S3-read-only-policy, otorga acceso a ubicaciones específicas de Amazon S3 con permisos de solo lectura. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*", "arn:aws:s3:::amzn-s3-demo-bucket3", "arn:aws:s3:::amzn-s3-demo-bucket" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"0000000000" } } } ] }
      Conceder acceso a ubicaciones específicas de Amazon S3 (lectura y escritura)	La AWSGlueConsole-S3-read-and-write-policy concede acceso a ubicaciones específicas de Amazon S3 con permisos de lectura y escritura. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::aes-siem-00000000000-log/*", "arn:aws:s3:::aes-siem-00000000000-snapshot/*", "arn:aws:s3:::aes-siem-00000000000-log", "arn:aws:s3:::aes-siem-00000000000-snapshot" ], "Condition": { "StringEquals": { "aws:ResourceAccount":"00000000000" } } } ] }

7. Elija Siguiente.

8. Elija un rol de servicio predeterminado de AWS Glue para su cuenta. Un rol de servicio es un rol de IAM que AWS Glue utiliza para acceder a los recursos de otros servicios de AWS en su nombre. Para obtener más información, consulte Roles de servicio para AWS  Glue.

   • Al elegir la función de rol de servicio de AWS Glue, AWS Glue crea un nuevo rol de IAM en su Cuenta de AWS llamado AWSGlueServiceRole con las siguientes políticas gestionadas adjuntas. Si su cuenta ya tiene un rol de IAM denominado AWSGlueServiceRole, AWS Glue adjunta estas políticas al rol existente.

     • AWSGlueServiceRole: esta política administrada es necesaria para que AWS Glue pueda acceder a los recursos y administrarlos en su nombre. Permite a AWS Glue crear, actualizar y eliminar varios recursos, como trabajos de AWS Glue, rastreadores y conexiones. Esta política también otorga permisos para que AWS Glue acceda a los registros de Amazon CloudWatch con fines de registro. Para empezar, le recomendamos que utilice esta política para aprender a usar AWS Glue. A medida que se vaya sintiendo más cómodo con AWS Glue, podrá crear políticas que le permitan afinar el acceso a los recursos según sea necesario.

     • AWSGlueConsoleFullAccess: esta política administrada otorga acceso total al servicio AWS Glue a través de AWS Management Console. Esta política otorga permisos para realizar cualquier operación dentro de AWS Glue, lo que le permite crear, modificar y eliminar cualquier recurso AWS Glue según sea necesario. Sin embargo, es importante tener en cuenta que esta política no otorga permisos para acceder a los almacenes de datos subyacentes ni a otros servicios AWS que puedan estar involucrados en el proceso de ETL. Debido a la amplia gama de permisos que concede la política AWSGlueConsoleFullAccess, se debe asignar con cautela y siguiendo el principio del privilegio mínimo. En general, se recomienda crear y utilizar políticas más detalladas adaptadas a casos de uso y requisitos específicos siempre que sea posible.

     • AWSGlueConsole-S3-read-only-policy: esta política permite a AWS Glue leer datos de buckets específicos de Amazon S3, pero no otorga permisos para escribir o modificar datos en Amazon S3 o

       AWSGlueConsole-S3-read-and-write: esta política permite a AWS Glue leer y escribir datos en buckets específicos de Amazon S3 como parte del proceso de ETL.

   • Al elegir un rol de IAM existente, AWS Glue lo establece como predeterminado, pero no agrega permisos para AWSGlueServiceRole. Asegúrese de haber configurado el rol para usarlo como rol de servicio para AWS Glue. Para obtener más información, consulte Paso 1: Crear una política de IAM para el servicio AWS Glue y Paso 2: creación de un rol de IAM para AWS Glue.

9. Elija Siguiente.

10. Por último, revise los permisos que ha seleccionado y, a continuación, seleccione Aplicar cambios. Al aplicar los cambios, AWS Glue agregue permisos de IAM a las identidades que seleccionó. Puede ver o modificar los nuevos permisos en la consola de IAM en https://console.aws.amazon.com/iam/.