Políticas administradas por AWS para AWS Glue - AWS Glue

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas administradas por AWS para AWS Glue

Una política administrada por AWS es una política independiente que AWS crea y administra. Las políticas administradas por AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Considere que es posible que las políticas administradas por AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente para los casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.

Políticas administradas (predefinidas) por AWS para AWS Glue

AWS aborda muchos casos de uso comunes dando políticas de IAM independientes creadas y administradas por AWS. Estas políticas administradas por AWS conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos necesarios. Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.

Las siguientes políticas administradas de AWS, que puede asociar a las identidades de su cuenta, son específicas de AWS Glue y se agrupan según los escenarios de caso de uso:

  • AWSGlueConsoleFullAccess— Otorga acceso total a AWS Glue los recursos cuando una identidad a la que está asociada la política utiliza elAWS Management Console. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Esta política se suele adjuntar a los usuarios de la consola AWS Glue.

  • AWSGlueServiceRole— Otorga acceso a los recursos que varios AWS Glue procesos requieren para ejecutarse en su nombre. Estos recursos incluyen AWS Glue Amazon S3, IAM, CloudWatch Logs y Amazon EC2. Si aplica la convención de nomenclatura en los recursos especificados en esta política, los procesos de AWS Glue tienen los permisos necesarios. Normalmente, esta política se asocia a los roles que se especifican a la hora de definir rastreadores, trabajos y puntos de conexión de desarrollo.

  • AwsGlueSessionUserRestrictedServiceRole— Proporciona acceso completo a todos los AWS Glue recursos, excepto a las sesiones. Permite a los usuarios crear y utilizar solo las sesiones interactivas que están asociadas al usuario. Esta política incluye otros permisos que AWS Glue necesita para administrar recursos de AWS Glue en otros servicios de AWS. La política también permite agregar etiquetas a recursos de AWS Glue en otros servicios de AWS.

    nota

    Para obtener todos los beneficios de seguridad, no conceda esta política a un usuario al que se le haya asignado la política AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedPolicy— Proporciona acceso para crear sesiones AWS Glue interactivas mediante la operación de la CreateSession API solo si se proporcionan una clave de etiqueta («propietario» y un valor que coincidan con el ID de AWS usuario del cesionario). Esta política de identidad está asociada al usuario de IAM que invoca a la operación de la API CreateSession. Esta política también permite al asignado interactuar con los recursos de sesión interactiva de AWS Glue creados con una etiqueta de “propietario” y un valor que coincide con su ID de usuario de AWS. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue luego de que se crea la sesión.

    nota

    Para obtener los beneficios de seguridad completos, no conceda esta política a un usuario al que se le haya asignado la política AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedNotebookServiceFunción: proporciona acceso suficiente a la sesión del AWS Glue Studio bloc de notas para interactuar con recursos específicos de la sesión AWS Glue interactiva. Estos son recursos se crean con el valor de etiqueta de “propietario” que coincide con el ID de usuario de AWS de la entidad principal (usuario o rol de IAM) que crea el cuaderno. Para obtener más información sobre estas etiquetas, consulte el gráfico Valores clave de la entidad principal en la Guía del usuario de IAM.

    Esta política de rol de servicio se asocia al rol que se especifica con un comando mágico dentro del cuaderno o que se transfiere como un rol a la operación de la API CreateSession. Esta política también permite a la entidad principal crear una sesión interactiva de AWS Glue desde la interfaz del cuaderno de AWS Glue Studio solo si una clave de etiqueta de “propietario” y un valor coinciden con el ID de usuario de AWS de la entidad principal. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue luego de que se crea la sesión. Esta política también incluye permisos para escribir y leer desde buckets de Amazon S3, escribir CloudWatch registros y crear y eliminar etiquetas para los recursos de Amazon EC2 utilizados por. AWS Glue

    nota

    Para obtener todos los beneficios de seguridad, no conceda esta política a un rol al que se le haya asignado la política AWSGlueServiceRole, AWSGlueConsoleFullAccess o AWSGlueConsoleSageMakerNotebookFullAccess.

  • AwsGlueSessionUserRestrictedNotebookPolicy— Solo permite crear una sesión AWS Glue interactiva desde la interfaz del AWS Glue Studio bloc de notas si hay una clave de etiqueta («propietario») y un valor que coincidan con el identificador de AWS usuario del principal (usuario o rol de IAM) que crea el bloc de notas. Para obtener más información sobre estas etiquetas, consulte el gráfico Valores clave de la entidad principal en la Guía del usuario de IAM.

    Esta política se adjunta a la entidad principal (usuario o rol de IAM) que crea sesiones a partir de la interfaz del cuaderno de AWS Glue Studio. Esta política también permite un acceso suficiente al cuaderno de AWS Glue Studio para interactuar con recursos de sesión interactivos de AWS Glue específicos. Se trata de recursos que se crean con el valor de la etiqueta “propietario” que coincide con el ID de usuario de AWS de la entidad principal. Esta política deniega el permiso para cambiar o eliminar las etiquetas de “propietario” de un recurso de sesión de AWS Glue luego de que se crea la sesión.

  • AWSGlueServiceNotebookRole— Permite el acceso a AWS Glue las sesiones iniciadas en un AWS Glue Studio bloc de notas. Esta política permite enumerar y obtener información de sesión de todas las sesiones, pero solo permite a los usuarios crear y utilizar las sesiones etiquetadas con su ID de usuario de AWS. Esta política deniega el permiso para cambiar o eliminar etiquetas de “propietario” de recursos de sesión de AWS Glue etiquetados con sus ID de AWS.

    Asigne esta política al usuario de AWS que crea trabajos con la interfaz del bloc de notas en AWS Glue Studio.

  • AWSGlueConsoleSageMakerNotebookFullAccess— Otorga acceso completo a AWS Glue y a SageMaker los recursos cuando la identidad a la que se adjunta la política utiliza elAWS Management Console. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Esta política suele estar asociada a los usuarios de la AWS Glue consola que gestionan SageMaker ordenadores portátiles.

  • AWSGlueSchemaRegistryFullAccess— Concede acceso total a los recursos de AWS Glue Schema Registry cuando la identidad a la que está asociada la política utiliza la tecla AWS Management Console oAWS CLI. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Por lo general, esta política se asocia a los usuarios de la consola de AWS Glue o la AWS CLI que administran Schema Registry de AWS Glue.

  • AWSGlueSchemaRegistryReadonlyAccess— Otorga acceso de solo lectura a los recursos de AWS Glue Schema Registry cuando una identidad a la que está asociada la política utiliza la AWS Management Console tecla o. AWS CLI Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Por lo general, esta política se asocia a los usuarios de la consola de AWS Glue o la AWS CLI que utilizan Schema Registry de AWS Glue.

nota

Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las políticas específicas.

También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las acciones y recursos de AWS Glue. Puede asociar estas políticas personalizadas a los grupos o usuarios de IAM que requieran esos permisos.

AWS Glue se actualiza a las políticas administradas de AWS

Es posible consultar los detalles sobre las actualizaciones de AWS las políticas administradas de para AWS Glue debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de AWS Glue.

Cambio Descripción Fecha
AWSGlueServiceNotebookRole — Actualización menor de una política existente. Agregar glue:StartCompletion y glue:GetCompletion a la política. Necesario para la integración de datos de Amazon Q en AWS Glue. TBD
AwsGlueSessionUserRestrictedNotebookPolicy — Actualización menor de una política existente. Agregar glue:StartCompletion y glue:GetCompletion a la política. Necesario para la integración de datos de Amazon Q en AWS Glue. 29 de noviembre de 2023
AWSGlueServiceNotebookRole — Actualización menor de una política existente. Agregar codewhisperer:GenerateRecommendations a la política. Necesario para una nueva función en la que AWS Glue genera CodeWhisperer recomendaciones. 9 de octubre de 2023

AWSGlueServiceRole — Actualización menor de una política existente.

Reduzca el alcance de CloudWatch los permisos para reflejar mejor el registro de AWS Glue. 4 de agosto de 2023

AWSGlueConsoleFullAccess — Actualización menor de una política existente.

Agregar una lista de recetas de databrew y describir los permisos a la política. Se requiere para proporcionar acceso administrativo completo a las nuevas características en las que AWS Glue puede acceder a las recetas. 9 de mayo de 2023

AWSGlueConsoleFullAccess — Actualización menor de una política existente.

Agregar cloudformation:ListStacks a la política. Conserva las capacidades existentes tras los cambios en los requisitos de autorización de AWS CloudFormation. 28 de marzo de 2023

Se agregaron nuevas políticas administradas para la característica de sesiones interactivas:

  • AwsGlueSessionUserRestrictedServiceRole

  • AwsGlueSessionUserRestrictedPolicy

  • AwsGlueSessionUserRestrictedNotebookServiceRol

  • AwsGlueSessionUserRestrictedNotebookPolicy

Estas políticas se diseñaron para proporcionar seguridad adicional para las sesiones interactivas y los cuadernos en AWS Glue Studio. Las políticas restringen el acceso a la operación de la API CreateSession para que solo el propietario tenga acceso.

30 de noviembre de 2021

AWSGlueConsoleSageMakerNotebookFullAccess — Actualización a una política existente.

Se eliminó un ARN de recurso redundante (arn:aws:s3:::aws-glue-*/*) para la acción que concede permisos de lectura/escritura en los buckets de Amazon S3 que AWS Glue utiliza para almacenar scripts y archivos temporales.

Se corrigió un problema de sintaxis al cambiar "StringEquals" a "ForAnyValue:StringLike", y se movieron las líneas "Effect": "Allow" para que precedan a la línea "Action": en las instancias en la que no funcionaban.

15 de julio de 2021

AWSGlueConsoleFullAccess — Actualización de una política existente.

Se eliminó un ARN de recurso redundante (arn:aws:s3:::aws-glue-*/*) para la acción que concede permisos de lectura/escritura en los buckets de Amazon S3 que AWS Glue utiliza para almacenar scripts y archivos temporales. 15 de julio de 2021

AWS Glue comenzó el seguimiento de los cambios.

AWS Glue comenzó el seguimiento de los cambios de las políticas administradas de AWS. 10 de junio de 2021