Configuración de permisos de IAM para AWS Glue - AWS Glue
Siguientes pasos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de permisos de IAM para AWS Glue

Las instrucciones de este tema ayudan a configurar rápidamente los permisos AWS Identity and Access Management (IAM) para AWS Glue. Deberá completar las tareas siguientes:

  • Conceda a sus identidades de IAM acceso a los recursos AWS Glue.

  • Cree un rol de servicio para ejecutar trabajos, acceder a los datos y ejecutar tareas de calidad de datos AWS Glue.

Para obtener instrucciones detalladas que puede utilizar para personalizar los permisos de IAM para AWS Glue, consulte Configuración de permisos de IAM para AWS Glue.

Para configurar los permisos de IAM para AWS Glue en la AWS Management Console

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Glue en https://console.aws.amazon.com/glue/.

  2. Elija Empezar.

  3. En Preparar su cuenta para AWS Glue, seleccione Configurar permisos de IAM.

  4. Elige las identidades de IAM (roles o usuarios) a las que quieres conceder permisos AWS Glue. AWS Glue adjunta la política gestionada de AWSGlueConsoleFullAccess a estas identidades. Puede omitir este paso si desea configurar estos permisos de forma manual o solo desea establecer un rol de servicio predeterminado.

  5. Elija Siguiente.

  6. Elija el nivel de acceso a Amazon S3 que necesitan sus roles y usuarios. Las opciones que elija en este paso se aplican a todas las identidades que haya seleccionado.

    1. En Elegir ubicaciones de S3, elija las ubicaciones de Amazon S3 a las que quiere conceder acceso.

    2. A continuación, seleccione si sus identidades deben tener acceso de Solo lectura (recomendado) o acceso de lectura y escritura a las ubicaciones que seleccionó anteriormente. AWS Glue agrega políticas de permisos a sus identidades en función de la combinación de ubicaciones y los permisos de lectura o escritura que seleccione.

      En la siguiente tabla se muestran los permisos que AWS Glue adjunta al acceso a Amazon S3.

      Si elige... AWS Glue adjunta...
      Sin cambios Sin permisos. AWS Glue no realizará ningún cambio en los permisos de su identidad.
      Conceder acceso a ubicaciones específicas de Amazon S3 (solo lectura)

      Una política en línea integrada en las identidades de IAM seleccionadas. Para obtener más información, consulte Creación de políticas en línea en la Guía del usuario de IAM.

      AWS Glue nombra la política mediante la siguiente convención:. AWSGlueConsole<Role/User>InlinePolicy-read-specific-access-<UUID> Por ejemplo: AWSGlueConsoleRoleInlinePolicy-read-specific-access-123456780123.

      El siguiente es un ejemplo de una política en línea que AWS Glue adjunta para conceder acceso de solo lectura a una ubicación específica de Amazon S3.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
      Conceder acceso a ubicaciones específicas de Amazon S3 (lectura y escritura) Una política en línea integrada en las identidades de IAM seleccionadas. Para obtener más información, consulte Creación de políticas en línea en la Guía del usuario de IAM.

      AWS Glue nombra la política mediante la siguiente convención:. AWSGlueConsole<Role/User>InlinePolicy-read -and-write-specific-access-<UUID> Por ejemplo: AWSGlueConsoleRoleInlinePolicy-read-and-write-specific-access-123456780123.

      El siguiente es un ejemplo de una política en línea que AWS Glue adjunta para conceder acceso de lectura y escritura a ubicaciones específicas de Amazon S3.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*",
                "s3:*Object*"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2/*"
            ]
        }
    ]
}
      Otorgue el pleno acceso a Amazon S3 (solo lectura) Política de IAM administrada de AmazonS3ReadOnlyAccess. Para obtener más información, consulte la política administrada de AWS: AmazonS3ReadOnlyAccess.
      Otorgue acceso completo a Amazon S3 (lectura y escritura) Política de IAM administrada de AmazonS3FullAccess. Para obtener más información, consulte la política administrada de AWS: AmazonS3FullAccess.

  7. Elija Siguiente.

  8. Elija un rol de servicio predeterminado de AWS Glue para su cuenta. Un rol de servicio es un rol de IAM que AWS Glue utiliza para acceder a los recursos de otros servicios de AWS en su nombre. Para obtener más información, consulte Roles de servicio para AWS  Glue.

    • Al elegir la función de rol de servicio de AWS Glue, AWS Glue crea un nuevo rol de IAM en su Cuenta de AWS llamado AWSGlueServiceRole con las siguientes políticas gestionadas adjuntas. Si su cuenta ya tiene un rol de IAM denominado AWSGlueServiceRole, AWS Glue adjunta estas políticas al rol existente.

      • AWSGlueServiceRole: esta política administrada es necesaria para que AWS Glue pueda acceder a los recursos y administrarlos en su nombre. Permite a AWS Glue crear, actualizar y eliminar varios recursos, como trabajos de AWS Glue, rastreadores y conexiones. Esta política también otorga permisos para que AWS Glue acceda a los registros de Amazon CloudWatch con fines de registro. Para empezar, le recomendamos que utilice esta política para aprender a usar AWS Glue. A medida que se vaya sintiendo más cómodo con AWS Glue, podrá crear políticas que le permitan afinar el acceso a los recursos según sea necesario.

      • AmazonS3FullAccess: esta política administrada otorga los permisos necesarios a AWS Glue para el acceso completo de lectura y escritura a los recursos de Amazon S3. Este amplio acceso suele ser necesario porque AWS Glue puede necesitar interactuar con varios buckets y rutas de Amazon S3 durante sus operaciones. Para empezar, le recomendamos que utilice esta política para aprender a usar AWS Glue.

        Si bien la política `AmazonS3FullAccess` proporciona permisos amplios, se considera una práctica recomendada seguir el principio de privilegio mínimo y conceder permisos más restrictivos si es posible. Puede crear una política de IAM personalizada que conceda acceso únicamente a los buckets y rutas de Amazon S3 específicos necesarios para sus rastreadores, orígenes de datos y trabajos de AWS Glue. Sin embargo, este enfoque requiere un mayor esfuerzo para administrar y actualizar la política a medida que su uso de AWS Glue evoluciona.

    • Al elegir un rol de IAM existente, AWS Glue lo establece como predeterminado, pero no agrega ningún permiso. Asegúrese de haber configurado el rol para usarlo como rol de servicio para AWS Glue. Para obtener más información, consulte Paso 1: Crear una política de IAM para el servicio AWS Glue y Paso 2: creación de un rol de IAM para AWS Glue.

  9. Elija Siguiente.

  10. Por último, revise los permisos que ha seleccionado y, a continuación, seleccione Aplicar cambios. Al aplicar los cambios, AWS Glue agregue permisos de IAM a las identidades que seleccionó. Puede ver o modificar los nuevos permisos en la consola de IAM en https://console.aws.amazon.com/iam/.

Ya ha completado la configuración mínima de permisos de IAM para AWS Glue. En un entorno de producción, recomendamos que se familiarice con la Seguridad en AWS Glue y Gestión de identidad y acceso para AWS Glue para ayudarlo a proteger los recursos de AWS para su caso de uso.

Siguientes pasos

Ahora que ha configurado los permisos de IAM, puede explorar los siguientes temas para empezar a utilizar AWS Glue: