Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Permisos de personas y roles para esquemas de AWS Glue

PDF
RSS
Modo de enfoque
Permisos de personas y roles para esquemas de AWS Glue - AWS Glue
Personas para esquemasPermisos de personas para esquemasPermisos para roles de esquema

Las siguientes son las personas típicas y las políticas de permisos de AWS Identity and Access Management (IAM) sugeridas para personas y roles en relación con esquemas de AWS Glue.

Personas para esquemas

Las siguientes son las personas generalmente involucradas en el ciclo de vida de un esquema de AWS Glue.

Persona Descripción
Desarrollador de AWS Glue Desarrolla, prueba y publica proyectos.
Administrador de AWS Glue Registra, mantiene y concede permisos para proyectos.
Analista de datos Ejecuta proyectos para crear flujos de trabajo.

Para obtener más información, consulte Información general de los esquemas en AWS Glue.

Permisos de personas para esquemas

Los siguientes son los permisos sugeridos para cada persona del proyecto.

Permisos de desarrollador de AWS Glue para esquemas

El desarrollador de AWS Glue debe tener permisos de escritura en el bucket de Amazon S3 que se utiliza para publicar el esquema. A general, el desarrollador registra el proyecto después de cargarlo. En ese caso, el desarrollador necesita los permisos enumerados en Permisos de administrador de AWS Glue para esquemas. Además, si el desarrollador desea probar el proyecto después de su registro, también necesita los permisos enumerados en Permisos de analista de datos para esquemas.

Permisos de administrador de AWS Glue para esquemas

La política siguiente concede permisos para registrar, ver y mantener esquemas de AWS Glue.

importante

En la siguiente política , reemplace <s3-bucket-name> y <prefix> con la ruta de Amazon S3 a los archivos ZIP de proyecto cargados que se registrarán.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateBlueprint",
                "glue:UpdateBlueprint",
                "glue:DeleteBlueprint",                
                "glue:GetBlueprint",
                "glue:ListBlueprints",
                "glue:BatchGetBlueprints"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::<s3-bucket-name>/<prefix>/*"
        }
    ]
}

Permisos de analista de datos para esquemas

La siguiente política concede permisos para ejecutar proyectos y ver el flujo de trabajo y sus componentes resultantes. También concede PassRole al rol que AWS Glue asume para crear el flujo de trabajo y sus componentes.

La política concede permisos sobre cualquier recurso. Si desea configurar el acceso detallado a proyectos individuales, utilice el siguiente formato para los ARN de proyecto:

arn:aws:glue:<region>:<account-id>:blueprint/<blueprint-name>
importante

En la siguiente política, reemplace <account-id> por una cuenta de AWS válida y reemplace <role-name> por el nombre del rol utilizado para ejecutar un proyecto. Consulte Permisos para roles de esquema para obtener los permisos que requiere este rol.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:ListBlueprints",
                "glue:GetBlueprint",
                "glue:StartBlueprintRun",
                "glue:GetBlueprintRun",
                "glue:GetBlueprintRuns",
                "glue:GetCrawler",
                "glue:ListTriggers",
                "glue:ListJobs",
                "glue:BatchGetCrawlers",
                "glue:GetTrigger",
                "glue:BatchGetWorkflows",
                "glue:BatchGetTriggers",
                "glue:BatchGetJobs",
                "glue:BatchGetBlueprints",
                "glue:GetWorkflowRun",
                "glue:GetWorkflowRuns",
                "glue:ListCrawlers",
                "glue:ListWorkflows",
                "glue:GetJob",
                "glue:GetWorkflow",
                "glue:StartWorkflowRun"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<account-id>:role/<role-name>"
        }
    ]
}

Permisos para roles de esquema

Los siguientes son los permisos sugeridos para el rol de IAM utilizado para crear un flujo de trabajo a partir de un proyecto. El rol debe tener una relación de confianza con glue.amazonaws.com.

importante

En la siguiente política, reemplace <account-id> por una cuenta de AWS válida y reemplace <role-name> por el nombre del rol.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateJob",
                "glue:GetCrawler",
                "glue:GetTrigger",
                "glue:DeleteCrawler",
                "glue:CreateTrigger",
                "glue:DeleteTrigger",
                "glue:DeleteJob",
                "glue:CreateWorkflow",
                "glue:DeleteWorkflow",
                "glue:GetJob",
                "glue:GetWorkflow",
                "glue:CreateCrawler"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<account-id>:role/<role-name>"
        }
    ]
}
nota

Si los trabajos y los rastreadores del flujo de trabajo asumen un rol distinto de este rol, esta política debe incluir el permiso iam:PassRole en ese otro rol en lugar de en el rol del proyecto.

En esta página

Related resources

Guía para desarrolladores de AWS Glue DataBrew
Comandos de la AWS CLI de AWS Glue
Herramientas y SDK 

Related resources

Guía para desarrolladores de AWS Glue DataBrew
Comandos de la AWS CLI de AWS Glue
Herramientas y SDK 
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.