Configuración de AWS Data Pipeline
Antes de usar AWS Data Pipeline por primera vez, realice las siguientes tareas:
Tareas
Después de completar estas tareas, puede comenzar a utilizar AWS Data Pipeline. Para ver un tutorial básico, consulte Introducción a AWS Data Pipeline.
Registrarse en AWS
Al inscribirse en Amazon Web Services (AWS), su cuenta de AWS se inscribe automáticamente en todos los servicios de AWS, incluido AWS Data Pipeline. Solo se le cobrará por los servicios que utilice. Para obtener más información sobre las tarifas de uso de AWS Data Pipeline, consulte AWS Data Pipeline
Registro para obtener una Cuenta de AWS
Si no dispone de una Cuenta de AWS, siga estos pasos para crear una.
Cómo registrarse en una Cuenta de AWS
Siga las instrucciones que se le indiquen.
Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.
Al registrarse en una Cuenta de AWS, se crea un Usuario raíz de la cuenta de AWS. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario administrativo y utilice únicamente el usuario raíz para realizar tareas que requieran acceso de usuario raíz.
AWS le enviará un correo electrónico de confirmación luego de completar el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/
Crear un usuario administrativo
Después de registrarse para obtener una Cuenta de AWS, asegure su Usuario raíz de la cuenta de AWS, habilite AWS IAM Identity Center y cree un usuario administrativo para no utilizar el usuario raíz en las tareas cotidianas.
Protección de su Usuario raíz de la cuenta de AWS
-
Inicie sesión en la AWS Management Console
como propietario de cuenta, elija Usuario raíz e ingrese el email de su Cuenta de AWS. En la siguiente página, escriba su contraseña. Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Iniciar sesión como usuario raíz en la Guía del usuario de AWS Sign-In.
-
Active la autenticación multifactor (MFA) para el usuario raíz.
Para obtener instrucciones, consulte Habilitar un dispositivo MFA virtual para el usuario raíz de la Cuenta de AWS (consola) en la Guía del usuario de IAM.
Creación de un usuario administrativo
-
Activar IAM Identity Center
Para obtener instrucciones, consulte Habilitación de AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.
-
En IAM Identity Center, conceda acceso administrativo a un usuario administrativo.
Para ver un tutorial sobre cómo utilizar Directorio de IAM Identity Center como origen de identidad, consulte Configuración del acceso de usuarios con el Directorio de IAM Identity Center predeterminado en la Guía del usuario de AWS IAM Identity Center.
Cómo iniciar sesión como usuario administrativo
-
Para iniciar sesión con el usuario del IAM Identity Center, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario del IAM Identity Center.
Para obtener ayuda para iniciar sesión con un usuario del IAM Identity Center, consulte Iniciar sesión en el portal de acceso de AWS en la Guía del Usuario de AWS Sign-In.
Cree roles de IAM para AWS Data Pipeline y recursos de canalización
AWS Data Pipeline requiere roles de IAM que determinan los permisos para realizar acciones y acceder a los recursos AWS. El rol de canalización determina los permisos que AWS Data Pipeline tiene y un rol de recurso determina los permisos que tienen las aplicaciones que se ejecutan en los recursos de canalización, como las instancias de EC2. Podrá especificarlos al crear una canalización. Incluso si no especifica un rol personalizado y usa los roles DataPipelineDefaultRole predeterminadosDataPipelineDefaultResourceRole, primero debe crear los roles y adjuntar políticas de permisos. Para obtener más información, consulte Roles de IAM para AWS Data Pipeline.
Permita que la entidad principal de IAM (usuarios y grupos) realicen las acciones necesarias
Para trabajar con una canalización, una entidad principal de IAM (un usuario o un grupo) de su cuenta debe poder realizar AWS Data Pipelinelas acciones necesarias y las acciones para otros servicios, tal como se defina en su canalización.
Para simplificar los permisos, la política administrada AWSDataPipeline_FullAccess está disponible para que la adjunte a las entidades principales de IAM. Esta política administrada permite a la entidad principal realizar todas las acciones que requiera un usuario y las acciones iam:PassRole en los roles predeterminados que se utilizan con AWS Data Pipeline cuando no se especifica un rol personalizado.
Le recomendamos encarecidamente que evalúe detenidamente esta política administrada y restrinja los permisos únicamente a los que necesiten sus usuarios. Si es necesario, utilice esta política como punto de partida y, a continuación, elimine los permisos para crear una política de permisos en línea más restrictiva que pueda adjuntar a las entidades principales de IAM. Para obtener más información acerca de las políticas de permisos de ejemplo, consulte Ejemplos de políticas para AWS Data Pipeline.
Se debe incluir una declaración de política similar a la del siguiente ejemplo en una política adjunta a cualquier entidad principal de IAM que utilice la canalización. Esta declaración permite a la entidad principal de IAM realizar la acción PassRole en los roles que utiliza una canalización. Si no usa los roles predeterminados, reemplace MyPipelineRoleMyResourceRole
{ "Version": "2012-10-17", "Statement": [ { "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/MyPipelineRole", "arn:aws:iam::*:role/MyResourceRole" ] } ] }
El siguiente procedimiento muestra cómo crear un grupo IAM, adjuntar la política gestionada AWSDataPipeline_FullAccess al grupo y, a continuación, añadir usuarios al grupo. Puede usar este procedimiento para cualquier política en línea
Para crear un grupo de usuarios DataPipelineDevelopers y asociar la política AWSDataPipeline_FullAccess
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, seleccione Groups (Grupos), Create New Group (Crear grupo nuevo).
-
Ingrese un Nombre de grupo, por ejemplo,
DataPipelineDevelopersy, a continuación, elija Paso siguiente. -
Introduzca
AWSDataPipeline_FullAccesspara Filtrar y, a continuación, selecciónelo de la lista. -
Elija Next Step (Paso siguiente) y, a continuación, seleccione Create Group (Crear grupo).
-
Para añadir usuarios al grupo.
Seleccione el grupo que creó de la lista de grupos.
Elija Group Actions, Add Users to Group.
Seleccione los usuarios que desea agregar y, a continuación, elija Agregar usuarios al grupo.
Concesión de acceso mediante programación
Los usuarios necesitan acceso programático si desean interactuar con AWS fuera de la AWS Management Console. La forma de conceder el acceso programático depende del tipo de usuario que acceda a AWS.
Para conceder acceso programático a los usuarios, seleccione una de las siguientes opciones.
| ¿Qué usuario necesita acceso programático? | Para | Mediante |
|---|---|---|
|
Identidad del personal (Usuarios administrados en el Centro de identidades de IAM) |
Utilice credenciales temporales para firmar las solicitudes programáticas a la AWS CLI, los SDK de AWS o las API de AWS. |
Siga las instrucciones de la interfaz que desea utilizar:
|
| IAM | Utilice credenciales temporales para firmar las solicitudes programáticas a la AWS CLI, los SDK de AWS o las API de AWS. | Siga las instrucciones de Uso de credenciales temporales con recursos de AWS de la Guía del Usuario de IAM. |
| IAM | (no recomendado) Utilice credenciales a largo plazo para firmar las solicitudes programáticas a la AWS CLI, los SDK de AWS o las API de AWS. |
Siga las instrucciones de la interfaz que desea utilizar:
|
