Permisos de personas y roles para esquemas de AWS Glue - AWS Adherencia

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de personas y roles para esquemas de AWS Glue

Las siguientes son las personas típicas y las políticas de permisos de AWS Identity and Access Management (IAM) sugeridas para personas y roles en relación con esquemas de AWS Glue.

Personas para esquemas

Las siguientes son las personas generalmente involucradas en el ciclo de vida de un esquema de AWS Glue.

Persona Descripción
Desarrollador de AWS Glue Desarrolla, prueba y publica proyectos.
Administrador de AWS Glue Registra, mantiene y concede permisos para proyectos.
Analista de datos Ejecuta proyectos para crear flujos de trabajo.

Para obtener más información, consulte Información general de los esquemas en AWS Glue.

Permisos de personas para esquemas

Los siguientes son los permisos sugeridos para cada persona del proyecto.

Permisos de desarrollador de AWS Glue para esquemas

El desarrollador de AWS Glue debe tener permisos de escritura en el bucket de Amazon S3 que se utiliza para publicar el esquema. A general, el desarrollador registra el proyecto después de cargarlo. En ese caso, el desarrollador necesita los permisos enumerados en Permisos de administrador de AWS Glue para esquemas. Además, si el desarrollador desea probar el proyecto después de su registro, también necesita los permisos enumerados en Permisos de analista de datos para esquemas.

Permisos de administrador de AWS Glue para esquemas

La política siguiente concede permisos para registrar, ver y mantener esquemas de AWS Glue.

importante

En la siguiente política , reemplace <s3-bucket-name> y <prefix> con la ruta de Amazon S3 a los archivos ZIP de proyecto cargados que se registrarán.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateBlueprint", "glue:UpdateBlueprint", "glue:DeleteBlueprint", "glue:GetBlueprint", "glue:ListBlueprints", "glue:BatchGetBlueprints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::<s3-bucket-name>/<prefix>/*" } ] }

Permisos de analista de datos para esquemas

La siguiente política concede permisos para ejecutar proyectos y ver el flujo de trabajo y sus componentes resultantes. También concede PassRole al rol que AWS Glue asume para crear el flujo de trabajo y sus componentes.

La política concede permisos sobre cualquier recurso. Si desea configurar el acceso detallado a proyectos individuales, utilice el siguiente formato para los ARN de proyecto:

arn:aws:glue:<region>:<account-id>:blueprint/<blueprint-name>
importante

En la siguiente política, reemplace <account-id> por una cuenta de AWS válida y reemplace <role-name> por el nombre del rol utilizado para ejecutar un proyecto. Consulte Permisos para roles de esquema para obtener los permisos que requiere este rol.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:ListBlueprints", "glue:GetBlueprint", "glue:StartBlueprintRun", "glue:GetBlueprintRun", "glue:GetBlueprintRuns", "glue:GetCrawler", "glue:ListTriggers", "glue:ListJobs", "glue:BatchGetCrawlers", "glue:GetTrigger", "glue:BatchGetWorkflows", "glue:BatchGetTriggers", "glue:BatchGetJobs", "glue:BatchGetBlueprints", "glue:GetWorkflowRun", "glue:GetWorkflowRuns", "glue:ListCrawlers", "glue:ListWorkflows", "glue:GetJob", "glue:GetWorkflow", "glue:StartWorkflowRun" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::<account-id>:role/<role-name>" } ] }

Permisos para roles de esquema

Los siguientes son los permisos sugeridos para el rol de IAM utilizado para crear un flujo de trabajo a partir de un proyecto. El rol debe tener una relación de confianza con glue.amazonaws.com.

importante

En la siguiente política, reemplace <account-id> por una cuenta de AWS válida y reemplace <role-name> por el nombre del rol.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateJob", "glue:GetCrawler", "glue:GetTrigger", "glue:DeleteCrawler", "glue:CreateTrigger", "glue:DeleteTrigger", "glue:DeleteJob", "glue:CreateWorkflow", "glue:DeleteWorkflow", "glue:GetJob", "glue:GetWorkflow", "glue:CreateCrawler" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::<account-id>:role/<role-name>" } ] }
nota

Si los trabajos y los rastreadores del flujo de trabajo asumen un rol distinto de este rol, esta política debe incluir el permiso iam:PassRole en ese otro rol en lugar de en el rol del proyecto.