

# Paso 2: creación de un rol de IAM para AWS Glue
<a name="create-an-iam-role"></a>

Tiene que conceder sus permisos de rol de IAM que AWS Glue pueda asumir cuando llame a otros servicios en su nombre. Esto incluye el acceso a Amazon S3 para todos los orígenes, los destinos, los scripts y los directorios temporales que utilice con AWS Glue. Los rastreadores, los trabajos y los puntos de enlace de desarrollo necesitan permiso.

Estos permisos los concede utilizando AWS Identity and Access Management (IAM). Agregue una política al rol de IAM que transfiera a AWS Glue.

****Para crear un rol de IAM en el editor de trabajos****

1. Al crear un trabajo en la consola de AWS Glue, busque la sección del rol.

1. Elija **Crear nuevo rol**.

1. Se abre un formulario de creación de roles en línea que le permite:
   + Especificar **el nombre del rol**; por ejemplo, `AWSGlueServiceRoleDefault`.
   + La política administrada `AWSGlueServiceRole` se selecciona automáticamente.
   + Revise la política de confianza para asumir el rol.
   + Añada etiquetas opcionales para los metadatos.

1. Elija **Crear rol**.

1. El rol recién creado se selecciona automáticamente para su trabajo.

También puede utilizar la consola de IAM para crear el rol:

****Para crear un rol de IAM para la AWS Glue con la consola de IAM****

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación izquierdo, elija **Roles**.

1. Elija **Creación de rol**.

1.  Elija **Servicio de AWS** como tipo de entidad de confianza. Luego, para el servicio o caso de uso, busque y elija **AWS Glue**. Elija **Siguiente**. 

1. En la página **Agregar permisos**, elija las políticas que contienen los permisos necesarios; por ejemplo, la política administrada por AWS, `AWSGlueServiceRole`, para permisos de AWS Glue generales y la política administrada de AWS, **AmazonS3FullAccess**, para obtener acceso a los recursos de Amazon S3. A continuación, elija **Siguiente**.
**nota**  
Asegúrese de que una de las políticas de este rol conceda permisos a sus orígenes y destinos de Amazon S3. Es posible que le interese proporcionar su propia política para obtener acceso a determinados recursos de Amazon S3. Los orígenes de datos requieren permisos `s3:ListBucket` y `s3:GetObject`. Los destinos de datos requieren permisos `s3:ListBucket`, `s3:PutObject` y `s3:DeleteObject`. Para obtener más información acerca de la creación de una política de Amazon S3 para sus recursos, consulte [Especificación de recursos en una política](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html). Para ver un ejemplo de política de Amazon S3, consulte [Cómo escribir políticas de IAM: cómo conceder acceso a un bucket de Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).   
Si tiene previsto obtener acceso a orígenes y destinos de Amazon S3 cifrados con SSE-KMS, asocie una política que permita a los rastreadores, trabajos y puntos de enlace de desarrollo de AWS Glue descifrar los datos. Para obtener más información, consulte [Proteger los datos utilizando cifrado del lado del servidor con claves administradas por AWS KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).   
A continuación se muestra un ejemplo.  

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "kms:Decrypt"
         ],
         "Resource": [
           "arn:aws:kms:*:111122223333:key/key-id"
         ]
       }
     ]
   }
   ```

1.  Asigne un nombre a su función y añada una descripción (opcional) y, a continuación, revise la política de confianza y los permisos. En **Role Name (Nombre del rol)**, escriba un nombre para el rol, por ejemplo, `AWSGlueServiceRoleDefault`. Cree el rol con el nombre prefijado con la cadena `AWSGlueServiceRole` para permitir que se transfiera el rol desde usuarios de la consola al servicio. Las políticas proporcionadas por AWS Glue esperan que los roles de servicio de IAM comiencen con `AWSGlueServiceRole`. De lo contrario, deberá agregar una política para permitir a sus usuarios que el permiso `iam:PassRole` para roles de IAM coincida con la convención de denominación. Seleccione **Creación de rol**.
**nota**  
Cuando se crea un cuaderno con un rol, ese rol se pasa a las sesiones interactivas para que se pueda utilizar el mismo rol en ambos lugares. Como tal, el permiso `iam:PassRole` debe formar parte de la política del rol.   
Cree una nueva política para el rol mediante el siguiente ejemplo. Reemplace el número de cuenta por el suyo y por el nombre del rol.   

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "iam:PassRole",
         "Resource": "arn:aws:iam::090000000210:role/<role_name>"
       }
     ]
   }
   ```

1.  Añada etiquetas a su rol (opcional). Las etiquetas son pares clave-valor que puede añadir a los recursos AWS para ayudar a identificar, organizar o buscar recursos. A continuación, elija **Create role** (Crear rol).