# Configuración de permisos de IAM para AWS Glue
AWS Identity and Access Management (IAM) se utiliza para definir políticas y roles que AWS Glue utiliza para acceder a recursos. Los siguientes pasos lo guiarán a través de varias opciones para configurar los permisos para AWS Glue. Según las necesidades de su negocio, es posible que tenga que añadir o reducir el acceso a los recursos.
**nota**
Para empezar a utilizar los permisos de IAM básicos para AWS Glue en su lugar, consulte [Configuración de permisos de IAM para AWS Glue](set-up-iam.md).
1. [Crear una política de IAM para el servicio AWS Glue](create-service-policy.md): cree una política de servicio que le permita acceder a los recursos de AWS Glue.
1. [Crear un rol de IAM para AWS Glue](create-an-iam-role.md): cree un rol de IAM y adjunte la política de servicio de AWS Glue y una política para los recursos de Amazon Simple Storage Service (Amazon S3) utilizados por AWS Glue.
1. [Adjuntar una política a los usuarios o los grupos que acceden a AWS Glue](attach-policy-iam-user.md): adjunte políticas a todo usuario o grupo que inicie sesión en la consola de AWS Glue.
1. [Crear una política de IAM para los blocs de notas](create-notebook-policy.md): cree una política de servidor de blocs de notas para utilizarla en la creación de servidores de blocs de notas en los puntos de conexión de desarrollo.
1. [Crear un rol de IAM para los blocs de notas](create-an-iam-role-notebook.md): cree un rol de IAM y adjunte la política de servidor de blocs de notas.
1. [Crear una política de IAM para los cuadernos de IA de Amazon SageMaker](create-sagemaker-notebook-policy.md): cree una política de IAM para utilizarla al crear cuadernos de IA de Amazon SageMaker en puntos de conexión de desarrollo.
1. [Crear un rol de IAM para los cuadernos de IA de Amazon SageMaker](create-an-iam-role-sagemaker-notebook.md): cree un rol de IAM y adjunte la política para otorgar permisos al crear cuadernos de IA de Amazon SageMaker en puntos de conexión de desarrollo.
# Paso 1: Crear una política de IAM para el servicio AWS Glue
Para cualquier operación que obtenga acceso a datos que estén en otro recurso de AWS, como el acceso a sus objetos en Amazon S3, AWS Glue necesita permiso para obtener acceso al recurso en su nombre. Estos permisos los concede utilizando AWS Identity and Access Management (IAM).
**nota**
Puede omitir este paso si utiliza la política administrada de AWS, `AWSGlueServiceRole`.
En este paso, crea una política que es similar a `AWSGlueServiceRole`. Puede encontrar la versión más actualizada de `AWSGlueServiceRole` en la consola de IAM.
**Para crear una política de IAM para AWS Glue**
Esta política concede permiso para que algunas acciones de Amazon S3 administren recursos de su cuenta que AWS Glue necesita cuando asume el rol con esta política. Algunos de los recursos especificados en esta política hacen referencia a nombres predeterminados que AWS Glue utiliza para buckets de Amazon S3, scripts de ETL de Amazon S3, CloudWatch Logs y recursos de Amazon EC2. De forma predeterminada y para mayor simplicidad, AWS Glue escribe algunos objetos de Amazon S3 en buckets de su cuenta con el prefijo `aws-glue-*`.
1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación izquierdo, elija **Políticas**.
1. Seleccione **Crear política**.
1. En la pantalla **Create Policy** (Crear política) vaya a una pestaña para editar JSON. Cree un documento de política con las instrucciones JSON siguientes y, a continuación, elija **Review policy** (Revisar política).
**nota**
Agregue todos los permisos necesarios para los recursos de Amazon S3. Es posible que le interese que la sección de recursos de su política de acceso abarque solo los recursos necesarios.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:*",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRouteTables",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetRolePolicy",
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*/*",
"arn:aws:s3:::*/*aws-glue-*/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::crawler-public*",
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:AssociateKmsKey"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws-glue/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"aws-glue-service-resource"
]
}
},
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:instance/*"
]
}
]
}
```
------
En la siguiente tabla se describen los permisos que esta política concede.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/glue/latest/dg/create-service-policy.html)
1. En la pantalla **Review Policy (Revisar política)**, escriba su **Policy Name (Nombre de política)**; por ejemplo, **GlueServiceRolePolicy**. Escriba una descripción opcional y, cuando quede satisfecho con la política, elija **Create Policy (Crear política)**.
# Paso 2: creación de un rol de IAM para AWS Glue
Tiene que conceder sus permisos de rol de IAM que AWS Glue pueda asumir cuando llame a otros servicios en su nombre. Esto incluye el acceso a Amazon S3 para todos los orígenes, los destinos, los scripts y los directorios temporales que utilice con AWS Glue. Los rastreadores, los trabajos y los puntos de enlace de desarrollo necesitan permiso.
Estos permisos los concede utilizando AWS Identity and Access Management (IAM). Agregue una política al rol de IAM que transfiera a AWS Glue.
****Para crear un rol de IAM en el editor de trabajos****
1. Al crear un trabajo en la consola de AWS Glue, busque la sección del rol.
1. Elija **Crear nuevo rol**.
1. Se abre un formulario de creación de roles en línea que le permite:
+ Especificar **el nombre del rol**; por ejemplo, `AWSGlueServiceRoleDefault`.
+ La política administrada `AWSGlueServiceRole` se selecciona automáticamente.
+ Revise la política de confianza para asumir el rol.
+ Añada etiquetas opcionales para los metadatos.
1. Elija **Crear rol**.
1. El rol recién creado se selecciona automáticamente para su trabajo.
También puede utilizar la consola de IAM para crear el rol:
****Para crear un rol de IAM para la AWS Glue con la consola de IAM****
1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación izquierdo, elija **Roles**.
1. Elija **Creación de rol**.
1. Elija **Servicio de AWS** como tipo de entidad de confianza. Luego, para el servicio o caso de uso, busque y elija **AWS Glue**. Elija **Siguiente**.
1. En la página **Agregar permisos**, elija las políticas que contienen los permisos necesarios; por ejemplo, la política administrada por AWS, `AWSGlueServiceRole`, para permisos de AWS Glue generales y la política administrada de AWS, **AmazonS3FullAccess**, para obtener acceso a los recursos de Amazon S3. A continuación, elija **Siguiente**.
**nota**
Asegúrese de que una de las políticas de este rol conceda permisos a sus orígenes y destinos de Amazon S3. Es posible que le interese proporcionar su propia política para obtener acceso a determinados recursos de Amazon S3. Los orígenes de datos requieren permisos `s3:ListBucket` y `s3:GetObject`. Los destinos de datos requieren permisos `s3:ListBucket`, `s3:PutObject` y `s3:DeleteObject`. Para obtener más información acerca de la creación de una política de Amazon S3 para sus recursos, consulte [Especificación de recursos en una política](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html). Para ver un ejemplo de política de Amazon S3, consulte [Cómo escribir políticas de IAM: cómo conceder acceso a un bucket de Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).
Si tiene previsto obtener acceso a orígenes y destinos de Amazon S3 cifrados con SSE-KMS, asocie una política que permita a los rastreadores, trabajos y puntos de enlace de desarrollo de AWS Glue descifrar los datos. Para obtener más información, consulte [Proteger los datos utilizando cifrado del lado del servidor con claves administradas por AWS KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
A continuación se muestra un ejemplo.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:111122223333:key/key-id"
]
}
]
}
```
1. Asigne un nombre a su función y añada una descripción (opcional) y, a continuación, revise la política de confianza y los permisos. En **Role Name (Nombre del rol)**, escriba un nombre para el rol, por ejemplo, `AWSGlueServiceRoleDefault`. Cree el rol con el nombre prefijado con la cadena `AWSGlueServiceRole` para permitir que se transfiera el rol desde usuarios de la consola al servicio. Las políticas proporcionadas por AWS Glue esperan que los roles de servicio de IAM comiencen con `AWSGlueServiceRole`. De lo contrario, deberá agregar una política para permitir a sus usuarios que el permiso `iam:PassRole` para roles de IAM coincida con la convención de denominación. Seleccione **Creación de rol**.
**nota**
Cuando se crea un cuaderno con un rol, ese rol se pasa a las sesiones interactivas para que se pueda utilizar el mismo rol en ambos lugares. Como tal, el permiso `iam:PassRole` debe formar parte de la política del rol.
Cree una nueva política para el rol mediante el siguiente ejemplo. Reemplace el número de cuenta por el suyo y por el nombre del rol.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::090000000210:role/"
}
]
}
```
1. Añada etiquetas a su rol (opcional). Las etiquetas son pares clave-valor que puede añadir a los recursos AWS para ayudar a identificar, organizar o buscar recursos. A continuación, elija **Create role** (Crear rol).
# Paso 3: Adjuntar una política a los usuarios o los grupos que accedan a AWS Glue
El administrador debe asignar permisos a cualquier usuario, grupo o rol mediante la consola de AWS Glue o la AWS Command Line Interface (AWS CLI). Estos permisos los concede con AWS Identity and Access Management (IAM), mediante políticas. En este paso, se describe la asignación de permisos a usuarios o grupos.
Cuando termine este paso, el usuario o el grupo tendrán las siguientes políticas adjuntas:
+ Política administrada de AWS, `AWSGlueConsoleFullAccess`, o política personalizada **GlueConsoleAccessPolicy**
+ **`AWSGlueConsoleSageMakerNotebookFullAccess`**
+ **`CloudWatchLogsReadOnlyAccess`**
+ **`AWSCloudFormationReadOnlyAccess`**
+ **`AmazonAthenaFullAccess`**
**Para adjuntar una política insertada e integrarla a un usuario o un grupo**
Puede adjuntar una política administrada de AWS o una política insertada a un usuario o un grupo para obtener acceso a la consola de AWS Glue. Algunos de los recursos especificados en esta política hacen referencia a nombres predeterminados que AWS Glue utiliza para buckets de Amazon S3, scripts de ETL de Amazon S3, CloudWatch Logs, CloudFormation y recursos de Amazon EC2. De forma predeterminada y para mayor simplicidad, AWS Glue escribe algunos objetos de Amazon S3 en buckets de su cuenta con el prefijo `aws-glue-*`.
**nota**
Puede omitir este paso si utiliza la política administrada de AWS **`AWSGlueConsoleFullAccess`**.
**importante**
AWS Glue necesita permiso para asumir un rol que se utiliza para realizar flujo de trabajo en su nombre. **Para ello, debe agregar los permisos `iam:PassRole` a los usuarios o los grupos de AWS Glue.** Esta política concede permiso a roles que comienzan por `AWSGlueServiceRole` para roles de servicio de AWS Glue y `AWSGlueServiceNotebookRole` para roles que son necesarios cuando crea un servidor de blocs de notas. También puede crear su propia política para permisos `iam:PassRole` que sigue su convención de denominación.
Según las mejores prácticas de seguridad, se recomienda restringir el acceso mediante políticas más estrictas para limitar aún más el acceso al bucket de Amazon S3 y grupos de registros de Amazon CloudWatch. Para ver un ejemplo de política de Amazon S3, consulte [Cómo escribir políticas de IAM: cómo conceder acceso a un bucket de Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).
En este paso, crea una política que es similar a `AWSGlueConsoleFullAccess`. Puede encontrar la versión más actualizada de `AWSGlueConsoleFullAccess` en la consola de IAM.
1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **Usuarios** o **Grupos de usuarios**.
1. En la lista, seleccione el nombre del usuario o del grupo en el que integrará una política.
1. Elija la pestaña **Permissions (Permisos)** y, si es necesario, expanda la sección **Permissions Policies (Políticas de permisos)**.
1. Elija el enlace **Add Inline policy** (Añadir política en línea).
1. En la pantalla **Create Policy** (Crear política) vaya a una pestaña para editar JSON. Cree un documento de política con las instrucciones JSON siguientes y, a continuación, elija **Review policy** (Revisar política).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:*",
"redshift:DescribeClusters",
"redshift:DescribeClusterSubnetGroups",
"iam:ListRoles",
"iam:ListUsers",
"iam:ListGroups",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListAttachedRolePolicies",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcAttribute",
"ec2:DescribeKeyPairs",
"ec2:DescribeInstances",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters",
"rds:DescribeDBSubnetGroups",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"cloudformation:DescribeStacks",
"cloudformation:GetTemplateSummary",
"dynamodb:ListTables",
"kms:ListAliases",
"kms:DescribeKey",
"cloudwatch:GetMetricData",
"cloudwatch:ListDashboards"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*/*aws-glue-*/*",
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::aws-glue-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:/aws-glue/*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack"
],
"Resource": "arn:aws:cloudformation:*:*:stack/aws-glue*/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:key-pair/*",
"arn:aws:ec2:*:*:image/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSGlueServiceRole*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com"
]
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSGlueServiceNotebookRole*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"ec2.amazonaws.com"
]
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/service-role/AWSGlueServiceRole*"
],
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com"
]
}
}
}
]
}
```
------
En la siguiente tabla se describen los permisos que esta política concede.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/glue/latest/dg/attach-policy-iam-user.html)
1. En la pantalla **Review Policy (Revisar política)**, escriba un nombre para la política; por ejemplo, **GlueConsoleAccessPolicy**. Cuando esté satisfecho con la política, elija **Crear política**. Asegúrese de que no aparece ningún error en un cuadro rojo en la parte superior de la pantalla. Corrija todos los errores notificados.
**nota**
Si la opción **Use autoformatting** está seleccionada, la política se vuelve a formatear cada vez que abra una política o elija la opción **Validate Policy**.
**Para asociar la política administrada AWSGlueConsoleFullAccess**
Puede asociar la política `AWSGlueConsoleFullAccess` para proporcionar permisos que el usuario de la consola de AWS Glue necesita.
**nota**
Puede omitir este paso si ha creado su propia política para el acceso a la consola de AWS Glue.
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. En la lista de políticas, seleccione la casilla de verificación situada junto a **AWSGlueConsoleFullAccess**. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista de políticas.
1. Seleccione **Policy actions (Acciones de la política)** y, a continuación, **Attach (Adjuntar)**.
1. Seleccione el usuario al que asociará la política. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar el usuario al que asociará la política, seleccione **Attach policy** (Asociar política).
**Asocie la política administrada, `AWSGlueConsoleSageMakerNotebookFullAccess`**
Puede asociar la política `AWSGlueConsoleSageMakerNotebookFullAccess` a un usuario para administrar blocs de notas de IA de SageMaker creados en la consola de AWS Glue. Además de otros permisos de la consola de AWS Glue necesarios, esta política concede acceso a los recursos que se necesitan para administrar blocs de notas de IA de SageMaker.
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. En la lista de políticas, seleccione la casilla de verificación situada junto a **AWSGlueConsoleSageMakerNotebookFullAccess**. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista de políticas.
1. Seleccione **Policy actions (Acciones de la política)** y, a continuación, **Attach (Adjuntar)**.
1. Seleccione el usuario al que asociará la política. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar el usuario al que asociará la política, seleccione **Attach policy** (Asociar política).
**Para asociar la política administrada CloudWatchLogsReadOnlyAccess**
Puede asociar la política **CloudWatchLogsReadOnlyAccess** a un usuario para ver los registros que AWS Glue crea en la consola de CloudWatch Logs.
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. En la lista de políticas, seleccione la casilla de verificación situada junto a la política **CloudWatchLogsReadOnlyAccess**. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista de políticas.
1. Seleccione **Policy actions (Acciones de la política)** y, a continuación, **Attach (Adjuntar)**.
1. Seleccione el usuario al que asociará la política. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar el usuario al que asociará la política, seleccione **Attach policy** (Asociar política).
**Para asociar la política administrada AWSCloudFormationReadOnlyAccess**
Puede asociar la política **AWSCloudFormationReadOnlyAccess** a un usuario para ver las pilas de CloudFormation que AWS Glue utiliza en la consola de CloudFormation.
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. En la lista de políticas, seleccione la casilla de verificación situada junto a **AWSCloudFormationReadOnlyAccess**. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista de políticas.
1. Seleccione **Policy actions (Acciones de la política)** y, a continuación, **Attach (Adjuntar)**.
1. Seleccione el usuario al que asociará la política. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar el usuario al que asociará la política, seleccione **Attach policy** (Asociar política).
**Para asociar la política administrada AmazonAthenaFullAccess**
Puede asociar la política **AmazonAthenaFullAccess** a un usuario para ver datos de Amazon S3 en la consola de Athena.
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. En la lista de políticas, seleccione la casilla de verificación situada junto a **AmazonAthenaFullAccess**. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista de políticas.
1. Seleccione **Policy actions (Acciones de la política)** y, a continuación, **Attach (Adjuntar)**.
1. Seleccione el usuario al que asociará la política. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar el usuario al que asociará la política, seleccione **Attach policy** (Asociar política).
# Paso 4: Crear una política de IAM para servidores de blocs de notas
Si pretende utilizar blocs de notas con puntos de enlace de desarrollo, debe especificar permisos al crear el servidor de bloc de notas. Estos permisos los concede utilizando AWS Identity and Access Management (IAM).
Esta política concede permiso para que algunas acciones de Amazon S3 administren recursos de su cuenta que AWS Glue necesita cuando asume el rol con esta política. Algunos de los recursos que se especifican en esta política hacen referencia a nombres predeterminados que AWS Glue utiliza para buckets de Amazon S3, scripts de ETL de Amazon S3 y recursos de Amazon EC2. De forma predeterminada y para mayor simplicidad, AWS Glue escribe algunos objetos de Amazon S3 en buckets de su cuenta con el prefijo `aws-glue-*`.
**nota**
Puede omitir este paso si utiliza la política administrada de AWS, **`AWSGlueServiceNotebookRole`**.
En este paso, crea una política que es similar a `AWSGlueServiceNotebookRole`. Puede encontrar la versión más actualizada de `AWSGlueServiceNotebookRole` en la consola de IAM.
**Para crear una política de IAM para blocs de notas**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación izquierdo, elija **Políticas**.
1. Seleccione **Crear política**.
1. En la pantalla **Create Policy** (Crear política) vaya a una pestaña para editar JSON. Cree un documento de política con las instrucciones JSON siguientes y, a continuación, elija **Review policy** (Revisar política).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeleteDatabase",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTableVersions",
"glue:GetTables",
"glue:UpdateDatabase",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetJobBookmark",
"glue:ResetJobBookmark",
"glue:CreateConnection",
"glue:CreateJob",
"glue:DeleteConnection",
"glue:DeleteJob",
"glue:GetConnection",
"glue:GetConnections",
"glue:GetDevEndpoint",
"glue:GetDevEndpoints",
"glue:GetJob",
"glue:GetJobs",
"glue:UpdateJob",
"glue:BatchDeleteConnection",
"glue:UpdateConnection",
"glue:GetUserDefinedFunction",
"glue:UpdateUserDefinedFunction",
"glue:GetUserDefinedFunctions",
"glue:DeleteUserDefinedFunction",
"glue:CreateUserDefinedFunction",
"glue:BatchGetPartition",
"glue:BatchDeletePartition",
"glue:BatchCreatePartition",
"glue:BatchDeleteTable",
"glue:UpdateDevEndpoint",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::crawler-public*",
"arn:aws:s3:::aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"aws-glue-service-resource"
]
}
},
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:instance/*"
]
}
]
}
```
------
En la siguiente tabla se describen los permisos que esta política concede.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/glue/latest/dg/create-notebook-policy.html)
1. En la pantalla **Review Policy (Revisar política)**, escriba su **Policy Name (Nombre de política)**; por ejemplo, **GlueServiceNotebookPolicyDefault**. Escriba una descripción opcional y, cuando quede satisfecho con la política, elija **Create Policy (Crear política)**.
# Paso 5: Crear un rol de IAM para servidores de blocs de notas
Si pretende utilizar blocs de notas con puntos de enlace de desarrollo, debe conceder los permisos de rol de IAM. Estos permisos los concede al utilizar IAM de AWS Identity and Access Management, mediante un rol de IAM.
**nota**
Cuando se crea un rol de IAM utilizando la consola de IAM, esta crea automáticamente un perfil de instancia y le da el mismo nombre que el rol al que corresponde.
**Para crear un rol de IAM para blocs de notas**
1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación izquierdo, elija **Roles**.
1. Elija **Creación de rol**.
1. Para el tipo de rol, elija **Servicio de AWS**, encuentre y elija **EC2** y seleccione el caso de uso de **EC2**; por último, elija **Siguiente: Permisos**.
1. En la página **Adjuntar política de permisos**, elija las políticas que contienen los permisos necesarios; por ejemplo, **AWSGlueServiceNotebookRole**, para permisos de AWS Glue generales, y la política administrada por AWS, **AmazonS3FullAccess**, para obtener acceso a recursos de Amazon S3. A continuación, seleccione **Next: Review**.
**nota**
Asegúrese de que una de las políticas de este rol conceda permisos a sus orígenes y destinos de Amazon S3. También confirme que su política le permite obtener acceso completo a la ubicación en la que almacena su bloc de notas cuando crea un servidor de blocs de notas. Es posible que le interese proporcionar su propia política para obtener acceso a determinados recursos de Amazon S3. Para obtener más información acerca de la creación de una política de Amazon S3 para sus recursos, consulte [Especificación de recursos en una política](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html).
Si tiene previsto obtener acceso a orígenes y destinos de Amazon S3 cifrados con SSE-KMS, asocie una política que permita a los blocs de notas descifrar los datos. Para obtener más información, consulte [Proteger los datos utilizando cifrado del lado del servidor con claves administradas por AWS KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
A continuación se muestra un ejemplo.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:111122223333:key/key-id"
]
}
]
}
```
1. Escriba un nombre para el rol en **Nombre de rol**. Cree el rol con el nombre prefijado con la cadena `AWSGlueServiceNotebookRole` para permitir que se transfiera el rol desde usuarios de la consola al servidor de blocs de notas. Las políticas proporcionadas por AWS Glue esperan que los roles de servicio de IAM comiencen con `AWSGlueServiceNotebookRole`. De lo contrario, deberá agregar una política a sus usuarios para permitir que el permiso `iam:PassRole` para roles de IAM coincida con su convención de denominación. Por ejemplo, escriba . `AWSGlueServiceNotebookRoleDefault`. A continuación, elija **Crear rol**.
# Paso 6: Crear una política de IAM para cuadernos de IA de SageMaker
Si pretende utilizar cuadernos de IA de SageMaker con puntos de conexión de desarrollo, debe especificar los permisos al crear el cuaderno. Estos permisos los concede utilizando AWS Identity and Access Management (IAM).
**Creación de una política de IAM para cuadernos de IA de SageMaker**
1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación izquierdo, elija **Políticas**.
1. Seleccione **Crear política**.
1. En la página **Create Policy (Crear política)** vaya a una pestaña para editar JSON. Cree un documento de política con las siguientes instrucciones JSON. Modifique el *nombre-del-bucket*, el *código-de-región* y el *identificador-de-cuenta* del entorno.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket*"
]
},
{
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/*",
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/*:log-stream:aws-glue-*"
]
},
{
"Action": [
"glue:UpdateDevEndpoint",
"glue:GetDevEndpoint",
"glue:GetDevEndpoints"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:us-east-1:111122223333:devEndpoint/*"
]
},
{
"Action": [
"sagemaker:ListTags"
],
"Effect": "Allow",
"Resource": [
"arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/*"
]
}
]
}
```
------
A continuación, elija **Review policy (Revisar política)**.
En la siguiente tabla se describen los permisos que esta política concede.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/glue/latest/dg/create-sagemaker-notebook-policy.html)
1. En la pantalla **Review Policy (Revisar política)**, escriba su **Policy Name (Nombre de política)**; por ejemplo, `AWSGlueSageMakerNotebook`. Escriba una descripción opcional y, cuando quede satisfecho con la política, elija **Create Policy (Crear política)**.
# Paso 7: Crear un rol de IAM para cuadernos de IA de SageMaker
Si pretende utilizar cuadernos de IA de SageMaker con puntos de conexión de desarrollo, debe conceder los permisos del rol de IAM. Estos permisos los concede al utilizar AWS Identity and Access Management (IAM), mediante un rol de IAM.
**Creación de un rol de IAM para cuadernos de IA de SageMaker**
1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación izquierdo, elija **Roles**.
1. Elija **Creación de rol**.
1. Para el tipo de rol, elija **Servicio de AWS**, busque y elija **SageMaker** y seleccione el caso de uso **SageMaker: ejecución**. A continuación, elija **Siguiente: Permisos)**.
1. En la página **Attach permissions policy (Asociar la política de permisos)**, elija las políticas que contengan los permisos necesarios; por ejemplo, **AmazonSageMakerFullAccess**. Elija **Siguiente: Revisar**.
Si tiene previsto obtener acceso a orígenes y destinos de Amazon S3 que se cifran con SSE-KMS, asocie una política que permita a los blocs de notas descifrar los datos, como se muestra en el siguiente ejemplo. Para obtener más información, consulte [Proteger los datos utilizando cifrado del lado del servidor con claves administradas por AWS KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:111122223333:key/key-id"
]
}
]
}
```
------
1. Escriba un nombre para el rol en **Nombre de rol**. Para permitir que se transfiera el rol desde usuarios de la consola a la IA de SageMaker, use un nombre que tenga como prefijo la cadena `AWSGlueServiceSageMakerNotebookRole`. Las políticas proporcionadas por AWS Glue esperan que los roles de IAM comiencen con `AWSGlueServiceSageMakerNotebookRole`. De lo contrario, deberá agregar una política a sus usuarios para permitir que el permiso `iam:PassRole` para roles de IAM coincida con su convención de denominación.
Por ejemplo, ingrese `AWSGlueServiceSageMakerNotebookRole-Default`, y luego elija **Create role (Crear rol)**.
1. Después de crear el rol, asocie la política que permite los permisos adicionales necesarios para crear cuadernos de IA de SageMaker desde AWS Glue.
Abra el rol que acaba de crear, `AWSGlueServiceSageMakerNotebookRole-Default`, y elija **Attach policies (Asociar políticas)**. Asocie la política que creó, denominada `AWSGlueSageMakerNotebook`, al rol.