Políticas administradas de AWS para AWS Glue

Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas de IAM administradas por el cliente que proporcionen a su equipo solo los permisos necesarios. Para comenzar a hacerlo con rapidez, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información acerca de las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Los Servicios de AWS mantienen y actualizan las políticas administradas por AWS. No puede cambiar los permisos en las políticas administradas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan permisos de una política administrada por AWS, por lo que las actualizaciones de políticas no deteriorarán los permisos existentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política ViewOnlyAccess administrada por AWS proporciona acceso de solo lectura a muchos recursos y Servicios de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

Políticas administradas (predefinidas) por AWS para AWS Glue

AWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes creadas y administradas por AWS. Estas políticas administradas por AWS conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos necesarios. Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Las siguientes políticas administradas de AWS, que puede asociar a las identidades de su cuenta, son específicas de AWS Glue y se agrupan según los escenarios de caso de uso:

• AWSGlueConsoleFullAccess— Otorga acceso total aAWS Glue los recursos cuando una identidad a la que está adjunta la política utiliza elAWS Management Console. Si aplica la convención de nomenclatura para los recursos especificados en esta política, los usuarios tendrán acceso a la funcionalidad íntegra de la consola. Esta política se asocia generalmente a los usuarios de la consola de AWS Glue.

• AWSGlueServiceRole: concede acceso a recursos que precisan diversosAWS Glue procesos para ejecutarse en su nombre. Entre estos recursos se incluyen Amazon S3AWS Glue, IAM, IAM, IAM, IAM, CloudWatch IAM, IAM, IAM, IAM, IAM Si aplica la convención de nomenclatura en los recursos especificados en esta política, los procesos de AWS Glue tendrán los permisos necesarios. Esta política se asocia generalmente a los roles que se especifican a la hora de definir rastreadores, trabajos y puntos de enlace de desarrollo.

• AwsGlueSessionUserRestrictedServiceRole: proporciona acceso completo a todos losAWS Glue recursos de, excepto las sesiones. Permite a los usuarios crear y utilizar solo las sesiones interactivas que están asociadas al usuario. Esta política incluye otros permisos que AWS Glue necesita para administrar recursos de AWS Glue en otros servicios de AWS. La política también permite agregar etiquetas a recursos de AWS Glue en otros servicios de AWS.

  nota

  Para obtener todos los beneficios de seguridad, no conceda esta política a un usuario al que se le haya asignado la política AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

• AwsGlueSessionUserRestrictedPolicy: proporciona acceso para crear sesionesAWS Glue interactivas mediante la operación de laCreateSession API solo si se proporcionan un «propietario» de la clave de etiqueta y un valor que coinciden con el ID deAWS usuario de del asignado. Esta política de identidad está asociada al usuario de IAM que invoca a la operación de la API CreateSession. Esta política también permite al asignado interactuar con los recursos de sesión interactiva de AWS Glue creados con una etiqueta de “propietario” y un valor que coincide con su ID de usuario de AWS. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue después de crear la sesión.

  nota

  Para obtener todos los beneficios de seguridad, no conceda esta política a un usuario al que se le haya asignado la política AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

• AwsGlueSessionUserRestrictedNotebookServiceFunción: proporciona suficiente acceso a la sesión delAWS Glue Studio cuaderno para interactuar con recursos de sesiónAWS Glue interactivos de específicos. Estos son recursos se crean con el valor de etiqueta de “propietario” que coincide con el ID de usuario de AWS de la entidad principal (usuario o rol de IAM) que crea el cuaderno. Para obtener más información sobre estas etiquetas, consulte el gráfico Valores clave de la entidad principal en la Guía del usuario de IAM.

  Esta política de rol de servicio se asocia al rol que se especifica con un comando mágico dentro del cuaderno o que se transfiere como un rol a la operación de la API CreateSession. Esta política también permite a la entidad principal crear una sesión interactiva de AWS Glue desde la interfaz del cuaderno de AWS Glue Studio solo si una clave de etiqueta de “propietario” y un valor coinciden con el ID de usuario de AWS de la entidad principal. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue después de crear la sesión. Esta política también incluye permisos para escribir y leer desde buckets de Amazon S3, escribir CloudWatch registros, y crear y eliminar etiquetas para los recursos de Amazon EC2 que utilizaAWS Glue.

  nota

  Para obtener todos los beneficios de seguridad, no conceda esta política a un rol al que se le haya asignado la política AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

• AwsGlueSessionUserRestrictedNotebookPolicy: proporciona acceso para crear una sesiónAWS Glue interactiva desde la interfaz delAWS Glue Studio cuaderno solo si hay una clave de etiqueta de «propietario» y un valor que coinciden con el ID deAWS usuario de de la entidad principal (usuario o rol de IAM) que crea el cuaderno. Para obtener más información sobre estas etiquetas, consulte el gráfico Valores clave de la entidad principal en la Guía del usuario de IAM.

  Esta política se adjunta a la entidad principal (usuario o rol de IAM) que crea sesiones a partir de la interfaz del cuaderno de AWS Glue Studio. Esta política también permite un acceso suficiente al cuaderno de AWS Glue Studio para interactuar con recursos de sesión interactivos de AWS Glue específicos. Se trata de recursos que se crean con el valor de la etiqueta “propietario” que coincide con el ID de usuario de AWS de la entidad principal. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue después de crear la sesión.

• AWSGlueServiceNotebookRole— Permite el acceso aAWS Glue las sesiones iniciadas en unAWS Glue Studio cuaderno. Esta política permite enumerar y obtener información de sesión de todas las sesiones, pero solo permite a los usuarios crear y utilizar las sesiones etiquetadas con su ID de usuario de AWS. Esta política deniega el permiso para cambiar o eliminar etiquetas de “propietario” de recursos de sesión de AWS Glue etiquetados con sus ID de AWS.

  Asigne esta política al usuario de AWS que crea trabajos mediante la interfaz del bloc de notas en AWS Glue Studio.

• AWSGlueConsoleSageMakerNotebookFullAccess— Otorga acceso total aAWS Glue y a SageMaker los recursos cuando la identidad a la que se adjunta la política utilice elAWS Management Console. Si aplica la convención de nomenclatura para los recursos especificados en esta política, los usuarios tendrán acceso a la funcionalidad íntegra de la consola. Esta política se asocia generalmente a los usuarios de laAWS Glue consola que administran SageMaker bloc de notas.

• AWSGlueSchemaRegistryFullAccess— Otorga acceso total a los recursos del Registro deAWS Glue esquemas cuando la identidad a la que está adjunta la política utiliza elAWS Management Console orAWS CLI. Si aplica la convención de nomenclatura para los recursos especificados en esta política, los usuarios tendrán acceso a la funcionalidad íntegra de la consola. Por lo general, esta política se asocia a los usuarios de la consola de AWS Glue o la AWS CLI que administran Schema Registry de AWS Glue.

• AWSGlueSchemaRegistryReadonlyAccess— Otorga acceso de solo lectura a los recursos del Registro deAWS Glue esquemas cuando una identidad a la que está adjunta la política utiliza laAWS Management Console oAWS CLI. Si aplica la convención de nomenclatura para los recursos especificados en esta política, los usuarios tendrán acceso a la funcionalidad íntegra de la consola. Por lo general, esta política se asocia a los usuarios de la consola de AWS Glue o la AWS CLI que utilizan Schema Registry de AWS Glue.

nota

Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las políticas específicas.

También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las acciones y recursos de AWS Glue. Puede asociar estas políticas personalizadas a los usuarios o grupos de IAM que requieran esos permisos.

AWS Glue se actualiza a las políticas administradas de AWS

Es posible consultar los detalles sobre las actualizaciones de AWS las políticas administradas de para AWS Glue debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de AWS Glue.

Cambio	Descripción	Fecha
AWSGlueConsoleFullAccess — Actualización menor de una política existente.	Agregarcloudformation:ListStacks a la política. Conserva las capacidades existentes después de los cambios en los requisitos deAWS CloudFormation autorización.	28 de marzo de 2023
Se agregaron nuevas políticas administradas para la característica de sesiones interactivas: AwsGlueSessionUserRestrictedServiceRole AwsGlueSessionUserRestrictedPolicy AwsGlueSessionUserRestrictedNotebookServiceFunción AwsGlueSessionUserRestrictedNotebookPolicy	Estas políticas se diseñaron para proporcionar seguridad adicional para las sesiones interactivas y los cuadernos en AWS Glue Studio. Las políticas restringen el acceso a la operación de la API CreateSession para que solo el propietario tenga acceso.	30 de noviembre de 2021
AWSGlueConsoleSageMakerNotebookFullAccess — Actualización de una política existente.	Se eliminó un ARN de recurso redundante (arn:aws:s3:::aws-glue-*/*) para la acción que concede permisos de lectura/escritura en los buckets de Amazon S3 que AWS Glue utiliza para almacenar scripts y archivos temporales. Se corrigió un problema de sintaxis al cambiar "StringEquals" a "ForAnyValue:StringLike", y se movieron las líneas "Effect": "Allow" para que precedan a la línea "Action": en las instancias en la que no funcionaban.	15 de julio de 2021
AWSGlueConsoleFullAccess — Actualización de una política existente.	Se eliminó un ARN de recurso redundante (arn:aws:s3:::aws-glue-*/*) para la acción que concede permisos de lectura/escritura en los buckets de Amazon S3 que AWS Glue utiliza para almacenar scripts y archivos temporales.	15 de julio de 2021
AWS Glue comenzó el seguimiento de los cambios.	AWS Glue comenzó el seguimiento de los cambios de las políticas administradas de AWS.	10 de junio de 2021