# Revisar los permisos de IAM necesarios para el usuario de AWS Glue Studio
<a name="getting-started-min-privs"></a>

Para utilizar AWS Glue Studio, el usuario debe tener acceso a diversos recursos de AWS. El usuario debe poder ver y seleccionar buckets de Amazon S3, políticas y roles de IAM, y objetos de AWS Glue Data Catalog.

## AWS GluePermisos de servicios de
<a name="getting-started-min-privs-glue"></a>

AWS Glue Studio utiliza las acciones y recursos del servicio de AWS Glue. Su usuario necesita permisos sobre estas acciones y recursos para utilizar de manera eficaz AWS Glue Studio. Puede conceder al usuario de AWS Glue Studio la política administrada de `AWSGlueConsoleFullAccess` o crear una política personalizada con un conjunto de permisos más pequeño.

**importante**  
Según las mejores prácticas de seguridad, se recomienda restringir el acceso mediante políticas más estrictas para limitar aún más el acceso al bucket de Amazon S3 y grupos de registros de Amazon CloudWatch. Para ver un ejemplo de política de Amazon S3, consulte [Cómo escribir políticas de IAM: cómo conceder acceso a un bucket de Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/). 

## Creación de políticas de IAM personalizadas para AWS Glue Studio
<a name="getting-started-all-gs-privs"></a>

Puede crear una política personalizada con un conjunto de permisos más pequeño para AWS Glue Studio. La política puede conceder permisos para un subconjunto de objetos o acciones. Utilice la siguiente información al crear una política personalizada. 

 Para utilizar las API de AWS Glue Studio, incluye `glue:UseGlueStudio` en la política de acción de los permisos de IAM. Utilizar `glue:UseGlueStudio` le permitirá acceder a todas las acciones de AWS Glue Studio, incluso a las que se vayan agregando a la API a lo largo del tiempo. 

 Para obtener más información acerca de las acciones definidas por AWS Glue, consulte [Acciones definidas por AWS Glue](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglue.html). 

 **Acciones de preparación y creación de datos** 
+ SendRecipeAction
+ GetRecipeAction

 **Acciones de gráficos acíclicos dirigidos (DAG** 
+ CreateDag
+ UpdateDag
+ GetDag
+ DeleteDag

 **Acciones de trabajo** 
+ SaveJob
+ GetJob
+ CreateJob
+ DeleteJob
+ GetJobs
+ UpdateJob

 **Acciones de ejecución de trabajo** 
+ StartJobRun
+ GetJobRuns
+ BatchStopJobRun
+ GetJobRun
+ QueryJobRuns
+ QueryJobs
+ QueryJobRunsAggregated

 **Acciones de esquemas** 
+ GetSchema
+ GetInferredSchema

 **Acciones de la base de datos** 
+ GetDatabases

 **Acciones del plan** 
+ GetPlan

 **Acciones de la tabla** 
+ SearchTables
+ GetTables
+ GetTable

 **Acciones de conexión** 
+ CreateConnection
+ DeleteConnection
+ UpdateConnection
+ GetConnections
+ GetConnection

 **Acciones de asignación** 
+ GetMapping

 **Acciones de proxy de S**
+ ListBuckets
+ ListObjectsV2
+ GetBucketLocation

**Acciones de configuración de seguridad**
+ GetSecurityConfigurations 

**Acción de script**
+ CreateScript (diferente de la API del mismo nombre en AWS Glue)

## Acceso a API de AWS Glue Studio
<a name="getting-started-glue-studio-apis"></a>

 Para acceder a AWS Glue Studio, agregue `glue:UseGlueStudio` a la lista de políticas de acciones de los permisos de IAM. 

 En el siguiente ejemplo, se ha incluido `glue:UseGlueStudio` en la política de acción, pero las API de AWS Glue Studio no están identificadas individualmente. Esto se debe a que cuando se incluye `glue:UseGlueStudio` se concede automáticamente acceso a las API internas sin tener que especificar las API de AWS Glue Studio individuales en los permisos de IAM. 

 En el ejemplo, las políticas de acción adicionales que aparecen (por ejemplo, `glue:SearchTables`) no son API de AWS Glue Studio, de modo que se deberán incluir en los permisos de IAM según sea necesario. También se pueden incluir acciones de proxy de Amazon S3 para especificar el nivel de acceso de Amazon S3 que se desea conceder. La siguiente política de ejemplo proporciona acceso para abrir AWS Glue Studio, crear un trabajo visual y guardarlo o ejecutarlo si el rol de IAM seleccionado tiene suficiente acceso. 

## Permisos de vista previa de datos y cuaderno
<a name="getting-started-data-preview-perms"></a>

Las vistas previas de datos y los cuaderno le permiten ver una muestra de los datos en cualquier etapa del trabajo (lectura, transformación, escritura), sin tener que ejecutar el trabajo. Se especifica un rol de AWS Identity and Access Management (IAM) para que utilice AWS Glue Studio al acceder a los datos. Los roles de IAM están destinados a ser asumibles y no tienen asociadas credenciales estándar a largo plazo, como una contraseña o clave de acceso. En lugar de esto, cuando AWS Glue Studio asume el rol, IAM le proporciona credenciales de seguridad temporales. 

Para garantizar que las vistas previas de datos y los comandos de cuaderno funcionen correctamente, utilice un rol que tenga un nombre que empiece por la cadena `AWSGlueServiceRole`. Si decide utilizar otro nombre para el rol, debe agregar el permiso `iam:passrole` y configurar una política para el rol en IAM. Para obtener más información, consulte [Crear una política de IAM para roles no denominados “AWSGlueServiceRole\$1”](getting-started-iam-permissions.md#create-iam-policy).

**aviso**  
Si un rol concede el permiso `iam:passrole` a un cuaderno e implementa el encadenamiento de roles, un usuario podría obtener acceso involuntariamente al cuaderno. Actualmente no se ha implementado ninguna auditoría que le permita monitorear a qué usuarios se les ha concedido acceso al cuaderno.

Si desea denegar a una identidad de IAM la capacidad de crear sesiones de vista previa de datos, consulte el siguiente ejemplo [Cómo denegar a una identidad la capacidad de crear sesiones de vista previa de datos](security_iam_id-based-policy-examples.md#deny-data-preview-sessions-per-identity).

## Amazon CloudWatchPermisos de
<a name="getting-started-min-privs-cloudwatch"></a>

Puede monitorear sus trabajos de AWS Glue Studio mediante Amazon CloudWatch, que recopila y procesa los datos sin procesar de AWS Glue en métricas legibles y casi en tiempo real. De forma predeterminada, los datos de las métricas de AWS Glue se envían a CloudWatch en forma automática. Para obtener más información, consulte [¿Qué es Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) en la *Guía del usuario de Amazon CloudWatch*, y [Métricas de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/monitoring-awsglue-with-cloudwatch-metrics.html#awsglue-metrics) en la *Guía para desarrolladores de AWS Glue*. 

Para acceder a los paneles de CloudWatch, el usuario que accede a AWS Glue Studio necesita alguna de las siguientes:
+ La política `AdministratorAccess`
+ La política `CloudWatchFullAccess`
+ Una política personalizada que incluya uno o varios de estos permisos específicos:
  + `cloudwatch:GetDashboard` y `cloudwatch:ListDashboards` para ver paneles
  + `cloudwatch:PutDashboard` para poder crear o modificar paneles
  + `cloudwatch:DeleteDashboards` para eliminar paneles

Para obtener más información sobre cómo cambiar los permisos de un usuario de IAM mediante políticas, consulte [Cambio de los permisos de un usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) en la *Guía del usuario de IAM*.