Claves de condición, acciones y recursos de AWS Glue - AWS Identity and Access Management

Claves de condición, acciones y recursos de AWS Glue

AWS Glue (prefijo de servicio: glue) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Glue

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
BatchCreatePartition Concede permiso para crear una o varias particiones. Escritura

catalog*

database*

table*

BatchDeleteConnection Concede permiso para eliminar una o varias conexiones. Escritura

catalog*

connection*

BatchDeletePartition Concede permiso para eliminar una o varias particiones. Escritura

catalog*

database*

table*

BatchDeleteTable Concede permiso para eliminar una o varias tablas. Escritura

catalog*

database*

table*

BatchDeleteTableVersion Concede permiso para eliminar una o varias versiones de una tabla. Lectura

catalog*

database*

table*

tableversion*

BatchGetCrawlers Concede permiso para recuperar uno o varios rastreadores. Lectura
BatchGetDevEndpoints Concede permiso para recuperar uno o varios puntos de enlace de desarrollo. Lectura
BatchGetJobs Concede permiso para recuperar uno o varios trabajos. Lectura
BatchGetPartition Concede permiso para recuperar una o varias particiones. Lectura

catalog*

database*

table*

BatchGetTriggers Concede permiso para recuperar uno o varios disparadores. Lectura
BatchGetWorkflows Concede permiso para recuperar uno o varios flujos de trabajo. Lectura
BatchStopJobRun Concede permiso para detener una o más ejecuciones de trabajo de un trabajo. Escritura
CancelMLTaskRun Concede permiso para detener una ML Task Run en ejecución. Escritura

mlTransform*

CreateClassifier Concede permiso para crear un clasificador. Escritura
CreateConnection Concede permiso para crear una conexión. Escritura

catalog*

connection*

CreateCrawler Concede permiso para crear un rastreador. Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDatabase Concede permiso para crear una base de datos. Escritura

catalog*

database*

CreateDevEndpoint Concede permiso para crear un punto de enlace de desarrollo. Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateJob Concede permiso para crear un trabajo. Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateMLTransform Concede permiso para crear una transformación ML. Escritura
CreatePartition Concede permiso para crear una partición. Escritura

catalog*

database*

table*

CreateScript Concede permiso para crear un script. Escritura
CreateSecurityConfiguration Concede permiso para crear una configuración de seguridad. Escritura
CreateTable Concede permiso para crear una tabla. Escritura

catalog*

database*

table*

CreateTrigger Concede permiso para crear un disparador. Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUserDefinedFunction Concede permiso para crear una definición de función. Escritura

catalog*

database*

userdefinedfunction*

CreateWorkflow Concede permiso para crear un flujo de trabajo. Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteClassifier Concede permiso para eliminar un clasificador. Escritura
DeleteConnection Concede permiso para eliminar una conexión. Escritura

catalog*

connection*

DeleteCrawler Concede permiso para eliminar un rastreador. Escritura
DeleteDatabase Concede permiso para eliminar una base de datos. Escritura

catalog*

database*

DeleteDevEndpoint Concede permiso para eliminar un punto de enlace de desarrollo. Escritura
DeleteJob Concede permiso para eliminar un trabajo. Escritura
DeleteMLTransform Concede permiso para eliminar una transformación ML. Escritura

mlTransform*

DeletePartition Concede permiso para eliminar una partición. Escritura

catalog*

database*

table*

DeleteResourcePolicy Concede permiso para eliminar una política de recursos. Escritura

catalog*

DeleteSecurityConfiguration Concede permiso para eliminar una configuración de seguridad. Escritura
DeleteTable Concede permiso para eliminar una tabla. Escritura

catalog*

database*

table*

DeleteTableVersion Concede permiso para eliminar una versión de una tabla. Lectura

catalog*

database*

table*

tableversion*

DeleteTrigger Concede permiso para eliminar un disparador. Escritura
DeleteUserDefinedFunction Concede permiso para eliminar una definición de función. Escritura

catalog*

database*

userdefinedfunction*

DeleteWorkflow Concede permiso para eliminar un flujo de trabajo. Escritura
GetCatalogImportStatus Concede permiso para recuperar el estado de importación del catálogo. Lectura

catalog*

GetClassifier Concede permiso para recuperar un clasificador. Lectura
GetClassifiers Concede permiso para crear una lista de todos los clasificadores. Lectura
GetConnection Concede permiso para recuperar una conexión. Lectura

catalog*

connection*

GetConnections Concede permiso para recuperar una lista de conexiones. Lectura

catalog*

connection*

GetCrawler Concede permiso para recuperar un rastreador. Lectura
GetCrawlerMetrics Concede permiso para recuperar métricas sobre rastreadores. Lectura
GetCrawlers Concede permiso para recuperar todos los rastreadores. Lectura
GetDataCatalogEncryptionSettings Concede permiso para recuperar la configuración de cifrado de catálogos. Lectura
GetDatabase Concede permiso para recuperar una base de datos. Lectura

catalog*

database*

GetDatabases Concede permiso para recuperar todas las bases de datos. Lectura

catalog*

database*

GetDataflowGraph Concede permiso para transformar un script en un gráfico acíclico dirigido (DAG). Lectura
GetDevEndpoint Concede permiso para recuperar un punto de enlace de desarrollo. Lectura
GetDevEndpoints Concede permiso para recuperar todos los puntos de enlace de desarrollo. Lectura
GetJob Concede permiso para recuperar un trabajo. Lectura
GetJobBookmark Concede permiso para recuperar un marcador de trabajo. Lectura
GetJobRun Concede permiso para recuperar una ejecución de trabajo. Lectura
GetJobRuns Concede permiso para recuperar todas las ejecuciones de trabajo de un trabajo. Lectura
GetJobs Concede permiso para recuperar todos los trabajos actuales. Lectura
GetMLTaskRun Concede permiso para recuperar una ML Task Run. Lectura

mlTransform*

GetMLTaskRuns Concede permiso para recuperar todas las ML Task Run. List

mlTransform*

GetMLTransform Concede permiso para recuperar una transformación ML. Lectura

mlTransform*

GetMLTransforms Concede permiso para recuperar todas las transformaciones ML. List
GetMapping Concede permiso para crear una asignación. Escritura
GetPartition Concede permiso para recuperar una partición. Lectura

catalog*

database*

table*

GetPartitions Concede permiso para recuperar las particiones de una tabla. Lectura

catalog*

database*

table*

GetPlan Concede permiso para recuperar una asignación para un script. Lectura
GetResourcePolicy Concede permiso para recuperar una política de recursos. Lectura

catalog*

GetSecurityConfiguration Concede permiso para recuperar una configuración de seguridad. Lectura
GetSecurityConfigurations Concede permiso para recuperar una o varias configuraciones de seguridad. Lectura
GetTable Concede permiso para recuperar una tabla. Lectura

catalog*

database*

table*

GetTableVersion Concede permiso para recuperar una versión de una tabla. Lectura

catalog*

database*

table*

tableversion*

GetTableVersions Concede permiso para recuperar una lista de versiones de una tabla. Lectura

catalog*

database*

table*

tableversion*

GetTables Concede permiso para recuperar las tablas en una base de datos. Lectura

catalog*

database*

table*

GetTags Concede permiso para recuperar todas las etiquetas asociadas a un recurso. Lectura

crawler

devendpoint

job

trigger

workflow

GetTrigger Concede permiso para recuperar un disparador. Lectura
GetTriggers Concede permiso para recuperar los disparadores asociados a un trabajo. Lectura
GetUserDefinedFunction Concede permiso para recuperar una definición de función. Lectura

catalog*

database*

userdefinedfunction*

GetUserDefinedFunctions Concede permiso para recuperar varias definiciones de funciones. Lectura

catalog*

database*

userdefinedfunction*

GetWorkflow Concede permiso para recuperar un flujo de trabajo. Lectura
GetWorkflowRun Concede permiso para recuperar una ejecución de flujo de trabajo. Lectura
GetWorkflowRunProperties Concede permiso para recuperar las propiedades de ejecución de flujo de trabajo. Lectura
GetWorkflowRuns Concede permiso para recuperar todas las ejecuciones de un flujo de trabajo. Lectura
ImportCatalogToGlue Concede permiso para importar un catálogo de datos de Athena en AWS Glue. Escritura

catalog*

ListCrawlers Concede permiso para recuperar todos los rastreadores. List
ListDevEndpoints Concede permiso para recuperar todos los puntos de enlace de desarrollo. List
ListJobs Concede permiso para recuperar todos los trabajos actuales. List
ListMLTransforms Concede permiso para recuperar todas las transformaciones ML. List
ListTriggers Concede permiso para recuperar todos los disparadores. List
ListWorkflows Concede permiso para recuperar todos los flujos de trabajo. List
PutDataCatalogEncryptionSettings Concede permiso para actualizar la configuración de cifrado de catálogos. Escritura
PutResourcePolicy Concede permiso para actualizar una política de recursos. Escritura

catalog*

PutWorkflowRunProperties Concede permiso para actualizar las propiedades de ejecución de flujo de trabajo. Escritura
ResetJobBookmark Concede permiso para restablecer un marcador de trabajo. Escritura
SearchTables Concede permiso para recuperar las tablas en el catálogo. Lectura

catalog*

database*

table*

StartCrawler Concede permiso para iniciar un rastreador. Escritura
StartCrawlerSchedule Concede permiso para cambiar el estado de programación de un rastreador a SCHEDULED (PROGRAMADO). Escritura
StartExportLabelsTaskRun Concede permiso para iniciar una Export Labels ML Task Run Escritura

mlTransform*

StartImportLabelsTaskRun Concede permiso para iniciar una Import Labels ML Task Run Escritura

mlTransform*

StartJobRun Concede permiso para comenzar a ejecutar un trabajo. Escritura
StartMLEvaluationTaskRun Concede permiso para iniciar una Evaluation ML Task Run. Escritura

mlTransform*

StartMLLabelingSetGenerationTaskRun Concede permiso para iniciar una Labeling Set Generation ML Task Run Escritura

mlTransform*

StartTrigger Concede permiso para iniciar un disparador. Escritura
StartWorkflowRun Concede permiso para comenzar a ejecutar un flujo de trabajo. Escritura
StopCrawler Concede permiso para detener un rastreador en ejecución. Escritura
StopCrawlerSchedule Concede permiso para cambiar el estado de programación de un rastreador a NOT_SCHEDULED (NO PROGRAMADO). Escritura
StopTrigger Concede permiso para detener un disparador. Escritura
TagResource Concede permiso para añadir etiquetas a un recurso. Etiquetado

crawler

devendpoint

job

trigger

workflow

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource Concede permiso para eliminar las etiquetas asociadas a un recurso. Etiquetado

crawler

devendpoint

job

trigger

workflow

aws:TagKeys

UpdateClassifier Concede permiso para actualizar un clasificador. Escritura
UpdateConnection Concede permiso para actualizar una conexión. Escritura

catalog*

connection*

UpdateCrawler Concede permiso para actualizar un rastreador. Escritura
UpdateCrawlerSchedule Concede permiso para actualizar la programación de un rastreador. Escritura
UpdateDatabase Concede permiso para actualizar una base de datos. Escritura

catalog*

database*

UpdateDevEndpoint Concede permiso para actualizar un punto de enlace de desarrollo. Escritura
UpdateJob Concede permiso para actualizar un trabajo. Escritura
UpdateMLTransform Concede permiso para actualizar una transformación ML. Escritura

mlTransform*

UpdatePartition Concede permiso para actualizar una partición. Escritura

catalog*

database*

table*

UpdateTable Concede permiso para actualizar una tabla. Escritura

catalog*

database*

table*

UpdateTrigger Concede permiso para actualizar un disparador. Escritura
UpdateUserDefinedFunction Concede permiso para actualizar una definición de función. Escritura

catalog*

database*

userdefinedfunction*

UpdateWorkflow Concede permiso para actualizar un flujo de trabajo. Escritura
UseMLTransforms Concede permiso para utilizar una transformación ML desde un script de ETL de Glue. Escritura

mlTransform*

Tipos de recurso definidos por AWS Glue

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
catalog arn:${Partition}:glue:${Region}:${Account}:catalog
database arn:${Partition}:glue:${Region}:${Account}:database/${DatabaseName}
table arn:${Partition}:glue:${Region}:${Account}:table/${DatabaseName}/${TableName}
tableversion arn:${Partition}:glue:${Region}:${Account}:tableVersion/${DatabaseName}/${TableName}/${TableVersionName}
connection arn:${Partition}:glue:${Region}:${Account}:connection/${ConnectionName}
userdefinedfunction arn:${Partition}:glue:${Region}:${Account}:userDefinedFunction/${DatabaseName}/${UserDefinedFunctionName}
devendpoint arn:${Partition}:glue:${Region}:${Account}:devendpoint/${DevEndpointName}

aws:ResourceTag/${TagKey}

job arn:${Partition}:glue:${Region}:${Account}:job/${JobName}

aws:ResourceTag/${TagKey}

trigger arn:${Partition}:glue:${Region}:${Account}:trigger/${TriggerName}

aws:ResourceTag/${TagKey}

crawler arn:${Partition}:glue:${Region}:${Account}:crawler/${CrawlerName}

aws:ResourceTag/${TagKey}

workflow arn:${Partition}:glue:${Region}:${Account}:workflow/${WorkflowName}

aws:ResourceTag/${TagKey}

mlTransform arn:${Partition}:glue:${Region}:${Account}:mlTransform/${TransformId}

aws:ResourceTag/${TagKey}

Claves de condición para AWS Glue

AWS Glue define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones en función de la presencia de pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de pares de clave-valor de etiqueta asociados al recurso. Cadena
aws:TagKeys Filtra acciones en función de la presencia de claves de etiqueta en la solicitud. Cadena