Configuración para AWS Data Pipeline

Antes de usar AWS Data Pipeline por primera vez, complete las siguientes tareas.

Tras completar estas tareas, puede empezar a utilizar AWS Data Pipeline. Para ver un tutorial básico, consulteIntroducción a AWS Data Pipeline.

Registrarse en AWS

Cuando te registras en Amazon Web Services (AWS), tu AWS cuenta se registra automáticamente en todos los servicios deAWS, incluidos AWS Data Pipeline. Solo se le cobrará por los servicios que utilice. Para obtener más información acerca de AWS Data Pipeline tasas de uso, consulte AWSData Pipeline.

Inscríbase en una Cuenta de AWS

Si no tienes un Cuenta de AWS, complete los pasos siguientes para crear uno.

Para suscribirte a una Cuenta de AWS

1. Abrir https://portal.aws.amazon.com/billing/registro.

2. Siga las instrucciones que se le indiquen.

   Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

   Cuando te registras en una Cuenta de AWS, un Usuario raíz de la cuenta de AWSse crea. El usuario root tiene acceso a todos Servicios de AWS y los recursos de la cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar tareas que requieren acceso de usuario raíz.

AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. En cualquier momento, puede ver la actividad de su cuenta actual y administrarla accediendo a https://aws.amazon.com/y seleccionando Mi cuenta.

Creación de un usuario con acceso administrativo

Después de suscribirse a una Cuenta de AWS, asegure su Usuario raíz de la cuenta de AWS, habilitar AWS IAM Identity Center y cree un usuario administrativo para no utilizar el usuario root en las tareas diarias.

Proteja su Usuario raíz de la cuenta de AWS

1. Inicie sesión en la AWS Management Consolecomo propietario de la cuenta seleccionando el usuario root e introduciendo su Cuenta de AWS dirección de correo electrónico. En la siguiente página, escriba su contraseña.

   Para obtener ayuda para iniciar sesión con un usuario root, consulte Iniciar sesión como usuario root en AWS Sign-In Guía del usuario.

2. Activa la autenticación multifactorial (MFA) para tu usuario root.

   Para obtener instrucciones, consulte Habilitar un MFA dispositivo virtual para su Cuenta de AWS usuario root (consola) en la Guía IAM del usuario.

Creación de un usuario con acceso administrativo

1. Habilite IAM Identity Center.

   Para obtener instrucciones, consulte Habilitar AWS IAM Identity Center en la AWS IAM Identity Center Guía del usuario.

2. En IAM Identity Center, conceda acceso administrativo a un usuario.

   Para ver un tutorial sobre el uso de Directorio de IAM Identity Center como fuente de identidad, consulte Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la AWS IAM Identity Center Guía del usuario.

Iniciar sesión como usuario con acceso de administrador

• Para iniciar sesión con su usuario de IAM Identity Center, utilice el inicio de sesión URL que se envió a su dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

  Para obtener ayuda para iniciar sesión con un usuario de IAM Identity Center, consulte Iniciar sesión en AWS acceda al portal en el AWS Sign-In Guía del usuario.

Concesión de acceso a usuarios adicionales

1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos con privilegios mínimos.

   Para obtener instrucciones, consulte Crear un conjunto de permisos en AWS IAM Identity Center Guía del usuario.

2. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

   Para obtener instrucciones, consulte Añadir grupos en AWS IAM Identity Center Guía del usuario.

Crear IAM roles para AWS Data Pipeline y Pipeline Resources

AWS Data Pipeline requiere IAM funciones que determinan los permisos para realizar acciones y acceder AWS recursos. La función de canalización determina los permisos que AWS Data Pipeline tiene, y un rol de recurso determina los permisos que tienen las aplicaciones que se ejecutan en recursos de canalización, como EC2 las instancias. Podrá especificarlos al crear una canalización. Incluso si no especifica un rol personalizado y usa los roles DataPipelineDefaultRole predeterminadosDataPipelineDefaultResourceRole, primero debe crear los roles y adjuntar políticas de permisos. Para obtener más información, consulte Roles de IAM para AWS Data Pipeline.

Permita que IAM los directores (usuarios y grupos) realicen las acciones necesarias

Para trabajar con una canalización, un IAM director (un usuario o un grupo) de tu cuenta debe poder realizar las tareas requeridas AWS Data Pipeline acciones y acciones para otros servicios según lo defina tu canalización.

Para simplificar los permisos, puedes adjuntar la política AWSDataPipeline_ FullAccess gestionada a IAM los directores. Esta política gestionada permite al director realizar todas las acciones que requiera un usuario y las iam:PassRole acciones en las funciones predeterminadas que se utilizan con AWS Data Pipeline cuando no se especifica un rol personalizado.

Le recomendamos encarecidamente que evalúe detenidamente esta política administrada y restrinja los permisos únicamente a los que necesiten sus usuarios. Si es necesario, utilice esta política como punto de partida y, a continuación, elimine los permisos para crear una política de permisos en línea más restrictiva que pueda adjuntar a las entidades IAM principales. Para obtener más información acerca de las políticas de permisos de ejemplo, consulte Ejemplos de políticas para AWS Data Pipeline.

Se debe incluir una declaración de política similar a la del siguiente ejemplo en una política adjunta a cualquier IAM principal que utilice la canalización. Esta declaración permite al IAM director realizar la PassRole acción en las funciones que utiliza una canalización. Si no usa los roles predeterminados, reemplace MyPipelineRole y MyResourceRole con los roles personalizados que cree.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/MyPipelineRole",
                "arn:aws:iam::*:role/MyResourceRole"
            ]
        }
    ]
}

El siguiente procedimiento muestra cómo crear un IAM grupo, adjuntar la política AWSDataPipeline_ FullAccess administrada al grupo y, a continuación, agregar usuarios al grupo. Puede usar este procedimiento para cualquier política en línea

Para crear un grupo de usuarios DataPipelineDevelopers y adjuntar la FullAccess política AWSDataPipeline_

1. Abra la IAM consola en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Groups (Grupos), Create New Group (Crear grupo nuevo).

3. Ingrese un Nombre de grupo (por ejemplo, DataPipelineDevelopers) y, a continuación, elija Paso siguiente.

4. Introduzca AWSDataPipeline_FullAccess para Filtrar y, a continuación, selecciónelo de la lista.

5. Elija Next Step (Paso siguiente) y, a continuación, seleccione Create Group (Crear grupo).

6. Para añadir usuarios al grupo.

   1. Seleccione el grupo que creó de la lista de grupos.

   2. Elija Group Actions, Add Users to Group.

   3. Seleccione los usuarios que desea agregar y, a continuación, elija Agregar usuarios al grupo.

Concesión de acceso mediante programación

Los usuarios necesitan acceso programático si quieren interactuar con AWS fuera del AWS Management Console. La forma de conceder el acceso programático depende del tipo de usuario que acceda AWS.

Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.

¿Qué usuario necesita acceso programático?	Para	Mediante
Identidad del personal (Los usuarios se administran en IAM Identity Center)	Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs.	Siga las instrucciones de la interfaz que desea utilizar: Para el registro AWS CLI, consulte Configuración del AWS CLI para usar AWS IAM Identity Center en la AWS Command Line Interface Guía del usuario. En AWS SDKs, herramientas y AWS APIs, consulte la autenticación de IAM Identity Center en la AWS SDKsy la Guía de referencia de herramientas.
IAM	Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs.	Siguiendo las instrucciones de Uso de credenciales temporales con AWS recursos de la Guía IAM del usuario.
IAM	(No recomendado) Utilice credenciales de larga duración para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs.	Siga las instrucciones de la interfaz que desea utilizar: Para el registro AWS CLI, consulte Autenticación mediante credenciales IAM de usuario en AWS Command Line Interface Guía del usuario. En AWS SDKsy herramientas, consulte Autenticarse con credenciales de larga duración en la AWS SDKsy la Guía de referencia de herramientas. En AWS APIs, consulte Administrar las claves de acceso para IAM los usuarios en la Guía del IAM usuario.