# API de seguridad en AWS Glue
La API de seguridad describe los tipos de datos de seguridad y la API relacionada con la seguridad en AWS Glue.
## Tipos de datos
+ [DataCatalogEncryptionSettings structure](#aws-glue-api-jobs-security-DataCatalogEncryptionSettings)
+ [Estructura EncryptionAtRest](#aws-glue-api-jobs-security-EncryptionAtRest)
+ [Estructura ConnectionPasswordEncryption](#aws-glue-api-jobs-security-ConnectionPasswordEncryption)
+ [Estructura EncryptionConfiguration](#aws-glue-api-jobs-security-EncryptionConfiguration)
+ [Estructura S3Encryption](#aws-glue-api-jobs-security-S3Encryption)
+ [Estructura CloudWatchEncryption](#aws-glue-api-jobs-security-CloudWatchEncryption)
+ [Estructura JobBookmarksEncryption](#aws-glue-api-jobs-security-JobBookmarksEncryption)
+ [Estructura SecurityConfiguration](#aws-glue-api-jobs-security-SecurityConfiguration)
+ [Estructura GluePolicy](#aws-glue-api-jobs-security-GluePolicy)
+ [Estructura DataQualityEncryption](#aws-glue-api-jobs-security-DataQualityEncryption)
## DataCatalogEncryptionSettings structure
Contiene información de configuración para mantener la seguridad del catálogo de datos.
**Campos**
+ `EncryptionAtRest`: un objeto [EncryptionAtRest](#aws-glue-api-jobs-security-EncryptionAtRest).
Especifica la configuración de cifrado en reposo del catálogo de datos.
+ `ConnectionPasswordEncryption`: un objeto [ConnectionPasswordEncryption](#aws-glue-api-jobs-security-ConnectionPasswordEncryption).
Cuando está habilitada la protección de la contraseña de conexión, el catálogo de datos utiliza una clave proporcionada por el cliente para cifrar la contraseña como parte de `CreateConnection` o `UpdateConnection`, y almacenarla en el campo `ENCRYPTED_PASSWORD` de las propiedades de conexión. Puede habilitar el cifrado de catálogo o cifrado de solo por contraseña.
## Estructura EncryptionAtRest
Especifica la configuración de cifrado en reposo del catálogo de datos.
**Campos**
+ `CatalogEncryptionMode` – *Obligatorio:* cadena UTF-8 (valores válidos: `DISABLED` \$1 `SSE-KMS="SSEKMS"` \$1 `SSE-KMS-WITH-SERVICE-ROLE="SSEKMSWITHSERVICEROLE"`).
Modo de cifrado en reposo para cifrar los datos del catálogo de datos.
+ `SseAwsKmsKeyId` – cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
El ID de la clave AWS KMS que se debe usar para el cifrado en reposo.
+ `CatalogEncryptionServiceRole` – cadena UTF-8 que coincide con el [Custom string pattern #53](aws-glue-api-common.md#regex_53).
El rol que asume AWS Glue para cifrar y descifrar los objetos del Catálogo de datos en nombre de quien realiza la llamada.
## Estructura ConnectionPasswordEncryption
La estructura de datos que utiliza el catálogo de datos para cifrar la contraseña como parte de `CreateConnection` o `UpdateConnection`, y almacenarla en el campo `ENCRYPTED_PASSWORD` de las propiedades de conexión. Puede habilitar el cifrado de catálogo o cifrado de solo por contraseña.
Cuando llega una solicitud `CreationConnection` que contiene una contraseña, el Data Catalog primero cifra la contraseña usando su clave AWS KMS. A continuación, vuelve a cifrar todo el objeto de conexión si también está activada el cifrado de catálogo.
Este cifrado requiere que configure los permisos de clave AWS KMS KMS para habilitar o restringir el acceso a la clave de contraseña de acuerdo con sus requisitos de seguridad. Por ejemplo, es posible que desee que solo los administradores tengan permiso para descifrar la clave de contraseña.
**Campos**
+ `ReturnConnectionPasswordEncrypted` – *Obligatorio:* Booleano.
Cuando la marca `ReturnConnectionPasswordEncrypted` se establece en “true”, las contraseñas permanecen cifradas en las respuestas de `GetConnection` y `GetConnections`. Este cifrado tiene efecto independientemente del cifrado del catálogo.
+ `AwsKmsKeyId` – cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
Una clave AWS KMS que se utiliza para cifrar la contraseña de conexión.
Si la protección de la contraseña de conexión está habilitada, el que realiza la llamada de `CreateConnection` y `UpdateConnection` necesita, al menos, permiso `kms:Encrypt` en la clave AWS KMS especificada para cifrar las contraseñas antes de almacenarlas en el Data Catalog.
Puede establecer el permiso de descifrado para habilitar o restringir el acceso a la clave de contraseña de acuerdo con sus requisitos de seguridad.
## Estructura EncryptionConfiguration
Especifica una configuración de cifrado.
**Campos**
+ `S3Encryption`: matriz de objetos [S3Encryption](#aws-glue-api-jobs-security-S3Encryption).
La configuración de cifrado de datos de Amazon Simple Storage Service (Amazon S3).
+ `CloudWatchEncryption`: un objeto [CloudWatchEncryption](#aws-glue-api-jobs-security-CloudWatchEncryption).
La configuración de cifrado para Amazon CloudWatch.
+ `JobBookmarksEncryption`: un objeto [JobBookmarksEncryption](#aws-glue-api-jobs-security-JobBookmarksEncryption).
La configuración de cifrado para marcadores de trabajo.
+ `DataQualityEncryption`: un objeto [DataQualityEncryption](#aws-glue-api-jobs-security-DataQualityEncryption).
La configuración de cifrado para los activos de AWS Glue Data Quality.
## Estructura S3Encryption
Especifica cómo se deben cifrar los datos de Amazon Simple Storage Service (Amazon S3).
**Campos**
+ `S3EncryptionMode` – Cadena UTF-8 (valores válidos: `DISABLED` \$1 `SSE-KMS="SSEKMS"` \$1 `SSE-S3="SSES3"`).
El modo de cifrado que usar para datos de Amazon S3.
+ `KmsKeyArn` – cadena UTF-8 que coincide con el [Custom string pattern #42](aws-glue-api-common.md#regex_42).
El nombre de recurso de Amazon (ARN) de la clave de KMS que utilizar para cifrar los datos.
## Estructura CloudWatchEncryption
Especifica cómo se deben cifrar los datos de Amazon CloudWatch.
**Campos**
+ `CloudWatchEncryptionMode` – Cadena UTF-8 (valores válidos: `DISABLED` \$1 `SSE-KMS="SSEKMS"`).
Modo de cifrado que usar para datos de CloudWatch.
+ `KmsKeyArn` – cadena UTF-8 que coincide con el [Custom string pattern #42](aws-glue-api-common.md#regex_42).
El nombre de recurso de Amazon (ARN) de la clave de KMS que utilizar para cifrar los datos.
## Estructura JobBookmarksEncryption
Especifica cómo se deben cifrar los datos de los marcadores de trabajo.
**Campos**
+ `JobBookmarksEncryptionMode` – Cadena UTF-8 (valores válidos: `DISABLED` \$1 `CSE-KMS="CSEKMS"`).
Modo de cifrado que usar para datos de marcadores de trabajos.
+ `KmsKeyArn` – cadena UTF-8 que coincide con el [Custom string pattern #42](aws-glue-api-common.md#regex_42).
El nombre de recurso de Amazon (ARN) de la clave de KMS que utilizar para cifrar los datos.
## Estructura SecurityConfiguration
Especifica una configuración de seguridad.
**Campos**
+ `Name` – cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
El nombre de la configuración de seguridad.
+ `CreatedTimeStamp`: marca temporal.
El momento en que se creó esta configuración de seguridad.
+ `EncryptionConfiguration`: un objeto [EncryptionConfiguration](#aws-glue-api-jobs-security-EncryptionConfiguration).
La configuración de cifrado asociada con esta configuración de seguridad.
## Estructura GluePolicy
Estructura para devolver una política de recursos.
**Campos**
+ `PolicyInJson`: cadena UTF-8 de 2 bytes de largo como mínimo.
Contiene el documento de política solicitado, en formato JSON.
+ `PolicyHash` – cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
Contiene el valor de hash asociado a esta política.
+ `CreateTime`: marca temporal.
La fecha y hora en la que se creó la política.
+ `UpdateTime`: marca temporal.
La fecha y hora en la que se actualizó la política por última vez.
## Estructura DataQualityEncryption
Especifica cómo deben cifrarse los activos de Data Quality en su cuenta.
**Campos**
+ `DataQualityEncryptionMode` – Cadena UTF-8 (valores válidos: `DISABLED` \$1 `SSE-KMS="SSEKMS"`).
El modo de cifrado que se utilizará para cifrar los activos de Data Quality. Estos activos incluyen conjuntos de reglas de calidad de datos, resultados, estadísticas, modelos de detección de anomalías y observaciones.
Los valores válidos son `SSEKMS` para el cifrado mediante una clave KMS administrada por el cliente, o `DISABLED`.
+ `KmsKeyArn` – cadena UTF-8 que coincide con el [Custom string pattern #42](aws-glue-api-common.md#regex_42).
El nombre de recurso de Amazon (ARN) de la clave de KMS que utilizar para cifrar los datos.
## Operaciones
+ [Acción GetDataCatalogEncryptionSettings (Python: get\$1data\$1catalog\$1encryption\$1settings)](#aws-glue-api-jobs-security-GetDataCatalogEncryptionSettings)
+ [Acción PutDataCatalogEncryptionSettings (Python: put\$1data\$1catalog\$1encryption\$1settings)](#aws-glue-api-jobs-security-PutDataCatalogEncryptionSettings)
+ [Acción PutResourcePolicy (Python: put\$1resource\$1policy)](#aws-glue-api-jobs-security-PutResourcePolicy)
+ [Acción GetResourcePolicy (Python: get\$1resource\$1policy)](#aws-glue-api-jobs-security-GetResourcePolicy)
+ [Acción DeleteResourcePolicy (Python: delete\$1resource\$1policy)](#aws-glue-api-jobs-security-DeleteResourcePolicy)
+ [Acción CreateSecurityConfiguration (Python: create\$1security\$1configuration)](#aws-glue-api-jobs-security-CreateSecurityConfiguration)
+ [Acción DeleteSecurityConfiguration (Python: delete\$1security\$1configuration)](#aws-glue-api-jobs-security-DeleteSecurityConfiguration)
+ [Acción GetSecurityConfiguration (Python: get\$1security\$1configuration)](#aws-glue-api-jobs-security-GetSecurityConfiguration)
+ [Acción GetSecurityConfigurations (Python: get\$1security\$1configurations)](#aws-glue-api-jobs-security-GetSecurityConfigurations)
+ [Acción GetResourcePolicies (Python: get\$1resource\$1policies)](#aws-glue-api-jobs-security-GetResourcePolicies)
## Acción GetDataCatalogEncryptionSettings (Python: get\$1data\$1catalog\$1encryption\$1settings)
Recupera la configuración de seguridad para un catálogo especificado.
**Solicitud**
+ `CatalogId` – cadena de ID de catálogo, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
El ID del catálogo de datos para el que recuperar la configuración de seguridad. Si no se proporciona ninguno, se usará de forma predeterminada el ID de cuenta de AWS.
**Respuesta**
+ `DataCatalogEncryptionSettings`: un objeto [DataCatalogEncryptionSettings](#aws-glue-api-jobs-security-DataCatalogEncryptionSettings).
La configuración de seguridad solicitada.
**Errores**
+ `InternalServiceException`
+ `InvalidInputException`
+ `OperationTimeoutException`
## Acción PutDataCatalogEncryptionSettings (Python: put\$1data\$1catalog\$1encryption\$1settings)
Establece la configuración de seguridad para un catálogo especificado. Después de que se ha establecido la configuración, a partir de entonces, se aplicará el cifrado especificado a cada escritura de catálogos.
**Solicitud**
+ `CatalogId` – cadena de ID de catálogo, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
El ID del catálogo de datos para el que establecer la configuración de seguridad. Si no se proporciona ninguno, se usará de forma predeterminada el ID de cuenta de AWS.
+ `DataCatalogEncryptionSettings`: *obligatorio:* objeto [DataCatalogEncryptionSettings](#aws-glue-api-jobs-security-DataCatalogEncryptionSettings).
La configuración de seguridad que se va a establecer.
**Respuesta**
+ *Sin parámetros de respuesta.*
**Errores**
+ `InternalServiceException`
+ `InvalidInputException`
+ `OperationTimeoutException`
## Acción PutResourcePolicy (Python: put\$1resource\$1policy)
Establece el catálogo de datos de política de recursos para el control de acceso.
**Solicitud**
+ `PolicyInJson`: *obligatorio:* cadena UTF-8 de 2 bytes de largo como mínimo.
Contiene el documento de política para establecer, en formato JSON.
+ `ResourceArn` – cadena UTF-8, con 1 byte de largo como mínimo y 10 240 bytes de largo como máximo, que coincide con el [Custom string pattern #50](aws-glue-api-common.md#regex_50).
No utilizar. Para uso interno únicamente.
+ `PolicyHashCondition` – cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
El valor hash devuelto cuando la política anterior se ha establecido mediante `PutResourcePolicy`. Su objetivo es evitar modificaciones simultáneas de una política. No utilice este parámetro si no se ha establecido ninguna política anterior.
+ `PolicyExistsCondition` – Cadena UTF-8 (valores válidos: `MUST_EXIST` \$1 `NOT_EXIST` \$1 `NONE`).
Un valor de `MUST_EXIST` se utiliza para actualizar una política. Un valor de `NOT_EXIST` se utiliza para crear una política nueva. Si se utiliza el valor de `NONE` o un valor nulo, la llamada no dependerá de la existencia de una política.
+ `EnableHybrid` – Cadena UTF-8 (valores válidos: `TRUE` \$1 `FALSE`).
Si se utiliza `'TRUE'`, significa que está utilizando ambos métodos para conceder acceso entre cuentas a recursos del Data Catalog:
+ Al actualizar directamente la política de recursos con `PutResourePolicy`
+ Al utilizar el comando **Grant permissions (Concesión de permisos)** en la Consola de administración de AWS.
Debe establecerse en `'TRUE'` si ya ha utilizado Management Console para conceder acceso entre cuentas; de lo contrario, se producirá un error en la llamada. La opción predeterminada es 'FALSO'.
**Respuesta**
+ `PolicyHash` – cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
Un hash de la política que se acaba de definir. Este debe incluirse en una llamada posterior que sobrescribe o actualiza esta política.
**Errores**
+ `EntityNotFoundException`
+ `InternalServiceException`
+ `OperationTimeoutException`
+ `InvalidInputException`
+ `ConditionCheckFailureException`
## Acción GetResourcePolicy (Python: get\$1resource\$1policy)
Recupera una política de recursos especificada.
**Solicitud**
+ `ResourceArn` – cadena UTF-8, con 1 byte de largo como mínimo y 10 240 bytes de largo como máximo, que coincide con el [Custom string pattern #50](aws-glue-api-common.md#regex_50).
El ARN del recurso de AWS Glue para el que se recuperará la política de recursos. Si no se proporciona, se devuelve la política de recursos del Data Catalog. Use `GetResourcePolicies` para ver todas las políticas de recursos existentes. Para obtener más información, consulte [Especificación de ARN de recursos de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/glue-specifying-resource-arns.html).
**Respuesta**
+ `PolicyInJson`: cadena UTF-8 de 2 bytes de largo como mínimo.
Contiene el documento de política solicitado, en formato JSON.
+ `PolicyHash` – cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
Contiene el valor de hash asociado a esta política.
+ `CreateTime`: marca temporal.
La fecha y hora en la que se creó la política.
+ `UpdateTime`: marca temporal.
La fecha y hora en la que se actualizó la política por última vez.
**Errores**
+ `EntityNotFoundException`
+ `InternalServiceException`
+ `OperationTimeoutException`
+ `InvalidInputException`
## Acción DeleteResourcePolicy (Python: delete\$1resource\$1policy)
Elimina una política especificada.
**Solicitud**
+ `PolicyHashCondition` – cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
El valor de hash devuelto cuando esta política se definió.
+ `ResourceArn` – cadena UTF-8, con 1 byte de largo como mínimo y 10 240 bytes de largo como máximo, que coincide con el [Custom string pattern #50](aws-glue-api-common.md#regex_50).
El ARN del recurso de AWS Glue para la política de recursos que se eliminará.
**Respuesta**
+ *Sin parámetros de respuesta.*
**Errores**
+ `EntityNotFoundException`
+ `InternalServiceException`
+ `OperationTimeoutException`
+ `InvalidInputException`
+ `ConditionCheckFailureException`
## Acción CreateSecurityConfiguration (Python: create\$1security\$1configuration)
Crea una nueva configuración de seguridad. Una configuración de seguridad es un conjunto de propiedades de seguridad que puede usar AWS Glue. Puede utilizar una configuración de seguridad para cifrar los datos en reposo. Para obtener información acerca de cómo usar configuraciones de seguridad en AWS Glue, consulte [Cifrado de datos escritos por rastreadores, trabajos y puntos de enlace de desarrollo](https://docs.aws.amazon.com/glue/latest/dg/encryption-security-configuration.html).
**Solicitud**
+ `Name`: *obligatorio:* cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
El nombre de la nueva configuración de seguridad.
+ `EncryptionConfiguration` – *Obligatorio:* objeto [EncryptionConfiguration](#aws-glue-api-jobs-security-EncryptionConfiguration).
La configuración de cifrado para la nueva configuración de seguridad.
**Respuesta**
+ `Name` – cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
El nombre asignado a la nueva configuración de seguridad.
+ `CreatedTimestamp`: marca temporal.
El momento en que se creó la nueva configuración de seguridad.
**Errores**
+ `AlreadyExistsException`
+ `InvalidInputException`
+ `InternalServiceException`
+ `OperationTimeoutException`
+ `ResourceNumberLimitExceededException`
## Acción DeleteSecurityConfiguration (Python: delete\$1security\$1configuration)
Elimina una configuración de seguridad especificada.
**Solicitud**
+ `Name`: *obligatorio:* cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
El nombre de la configuración de seguridad que se va a eliminar.
**Respuesta**
+ *Sin parámetros de respuesta.*
**Errores**
+ `EntityNotFoundException`
+ `InvalidInputException`
+ `InternalServiceException`
+ `OperationTimeoutException`
## Acción GetSecurityConfiguration (Python: get\$1security\$1configuration)
Recupera una configuración de seguridad especificada.
**Solicitud**
+ `Name`: *obligatorio:* cadena UTF-8, con 1 byte de largo como mínimo y 255 bytes de largo como máximo, que coincide con el [Single-line string pattern](aws-glue-api-common.md#aws-glue-api-regex-oneLine).
El nombre de la configuración de seguridad que se va a recuperar.
**Respuesta**
+ `SecurityConfiguration`: un objeto [SecurityConfiguration](#aws-glue-api-jobs-security-SecurityConfiguration).
La configuración de seguridad solicitada.
**Errores**
+ `EntityNotFoundException`
+ `InvalidInputException`
+ `InternalServiceException`
+ `OperationTimeoutException`
## Acción GetSecurityConfigurations (Python: get\$1security\$1configurations)
Recupera una lista de todas las configuraciones de seguridad.
**Solicitud**
+ `MaxResults`: número (entero) que no es inferior a 1 ni es superior a 1000.
El número máximo de resultados que devolver.
+ `NextToken`: cadena UTF-8.
Token de continuación si se trata de una llamada de continuidad.
**Respuesta**
+ `SecurityConfigurations`: matriz de objetos [SecurityConfiguration](#aws-glue-api-jobs-security-SecurityConfiguration).
Una lista de las configuraciones de seguridad.
+ `NextToken`: cadena UTF-8.
Un token de continuación, si hay más configuraciones de seguridad que devolver.
**Errores**
+ `EntityNotFoundException`
+ `InvalidInputException`
+ `InternalServiceException`
+ `OperationTimeoutException`
## Acción GetResourcePolicies (Python: get\$1resource\$1policies)
Recupera las políticas de recursos configuradas en recursos individuales por AWS Resource Access Manager durante la concesión de permisos entre cuentas. También recupera el la política de recursos del Data Catalog.
Si ha habilitado el cifrado de metadatos en la configuración del Data Catalog y no tiene permiso en la clave AWS KMS, la operación no puede devolver la política de recursos del Data Catalog.
**Solicitud**
+ `NextToken`: cadena UTF-8.
Token de continuación, si se trata de una solicitud de continuidad.
+ `MaxResults`: número (entero) que no es inferior a 1 ni es superior a 1000.
Tamaño máximo de una lista que se devolverá.
**Respuesta**
+ `GetResourcePoliciesResponseList`: matriz de objetos [Política de Glue](#aws-glue-api-jobs-security-GluePolicy).
Una lista de las políticas de recursos individuales y la política de recursos a nivel de cuenta.
+ `NextToken`: cadena UTF-8.
Un token de continuación, si la lista devuelta no contiene la última política de recursos disponible.
**Errores**
+ `InternalServiceException`
+ `OperationTimeoutException`
+ `InvalidInputException`
+ `GlueEncryptionException`