# Configuración de permisos de IAM para AWS Glue
Las instrucciones de este tema ayudan a configurar rápidamente los permisos AWS Identity and Access Management (IAM) para AWS Glue. Deberá completar las tareas siguientes:
+ Conceda a sus identidades de IAM acceso a los recursos AWS Glue.
+ Cree un rol de servicio para ejecutar trabajos, acceder a los datos y ejecutar tareas de calidad de datos AWS Glue.
Para obtener instrucciones detalladas que puede utilizar para personalizar los permisos de IAM para AWS Glue, consulte [Configuración de permisos de IAM para AWS Glue](configure-iam-for-glue.md).
**Para configurar los permisos de IAM para AWS Glue en la Consola de administración de AWS**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Glue en [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/).
1. Elija **Empezar**.
1. En **Preparar su cuenta para AWS Glue**, seleccione **Configurar permisos de IAM.**
1. Elige las identidades de IAM (roles o usuarios) a las que quieres conceder permisos AWS Glue. AWS Glue adjunta la política gestionada de `[AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)` a estas identidades. Puede omitir este paso si desea configurar estos permisos de forma manual o solo desea establecer un rol de servicio predeterminado.
1. Elija **Siguiente**.
1. Elija el nivel de acceso a Amazon S3 que necesitan sus roles y usuarios. Las opciones que elija en este paso se aplican a todas las identidades que haya seleccionado.
1. En **Elegir ubicaciones de S3**, elija las ubicaciones de Amazon S3 a las que quiere conceder acceso.
1. A continuación, seleccione si sus identidades deben tener acceso de **Solo lectura (recomendado)** o acceso de **lectura y escritura** a las ubicaciones que seleccionó anteriormente. AWS Glue agrega políticas de permisos a sus identidades en función de la combinación de ubicaciones y los permisos de lectura o escritura que seleccione.
En la siguiente tabla se muestran los permisos que AWS Glue adjunta al acceso a Amazon S3.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/glue/latest/dg/set-up-iam.html)
1. Elija **Siguiente**.
1. Elija un rol de servicio predeterminado de AWS Glue para su cuenta. Un rol de servicio es un rol de IAM que AWS Glue utiliza para acceder a los recursos de otros servicios de AWS en su nombre. Para obtener más información, consulte [Roles de servicio para AWS Glue](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service).
+ Al elegir la función de rol de servicio de AWS Glue, AWS Glue crea un nuevo rol de IAM en su Cuenta de AWS llamado `AWSGlueServiceRole` con las siguientes políticas gestionadas adjuntas. Si su cuenta ya tiene un rol de IAM denominado `AWSGlueServiceRole`, AWS Glue adjunta estas políticas al rol existente.
+ [ AWSGlueServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole): esta política administrada es necesaria para que AWS Glue pueda acceder a los recursos y administrarlos en su nombre. Permite a AWS Glue crear, actualizar y eliminar varios recursos, como trabajos de AWS Glue, rastreadores y conexiones. Esta política también otorga permisos para que AWS Glue acceda a los registros de Amazon CloudWatch con fines de registro. Para empezar, le recomendamos que utilice esta política para aprender a usar AWS Glue. A medida que se vaya sintiendo más cómodo con AWS Glue, podrá crear políticas que le permitan afinar el acceso a los recursos según sea necesario.
+ [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess): esta política administrada otorga acceso total al servicio AWS Glue a través de Consola de administración de AWS. Esta política otorga permisos para realizar cualquier operación dentro de AWS Glue, lo que le permite crear, modificar y eliminar cualquier recurso AWS Glue según sea necesario. Sin embargo, es importante tener en cuenta que esta política no otorga permisos para acceder a los almacenes de datos subyacentes ni a otros servicios AWS que puedan estar involucrados en el proceso de ETL. Debido a la amplia gama de permisos que concede la política `AWSGlueConsoleFullAccess`, se debe asignar con cautela y siguiendo el principio del privilegio mínimo. En general, se recomienda crear y utilizar políticas más detalladas adaptadas a casos de uso y requisitos específicos siempre que sea posible.
+ [ AWSGlueConsole-S3-read-only-policy](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-only-policy): esta política permite a AWS Glue leer datos de buckets específicos de Amazon S3, pero no otorga permisos para escribir o modificar datos en Amazon S3 o
[ AWSGlueConsole-S3-read-and-write](https://console.aws.amazon.com/iam/home#policies/details/arn:aws:iam:aws:policy/AWSGlueConsole-S3-read-and-write): esta política permite a AWS Glue leer y escribir datos en buckets específicos de Amazon S3 como parte del proceso de ETL.
+ Al elegir un rol de IAM existente, AWS Glue lo establece como predeterminado, pero no agrega permisos para `AWSGlueServiceRole`. Asegúrese de haber configurado el rol para usarlo como rol de servicio para AWS Glue. Para obtener más información, consulte [Paso 1: Crear una política de IAM para el servicio AWS Glue](create-service-policy.md) y [Paso 2: creación de un rol de IAM para AWS Glue](create-an-iam-role.md).
1. Elija **Siguiente**.
1. Por último, revise los permisos que ha seleccionado y, a continuación, seleccione **Aplicar cambios**. Al aplicar los cambios, AWS Glue agregue permisos de IAM a las identidades que seleccionó. Puede ver o modificar los nuevos permisos en la consola de IAM en [https://console.aws.amazon.com/iam/.](https://console.aws.amazon.com/iam/)
Ya ha completado la configuración mínima de permisos de IAM para AWS Glue. En un entorno de producción, recomendamos que se familiarice con la [Seguridad en AWS Glue](security.md) y [Administración de identidades y accesos para AWS Glue](security-iam.md) para ayudarlo a proteger los recursos de AWS para su caso de uso.
## Siguientes pasos
Ahora que ha configurado los permisos de IAM, puede explorar los siguientes temas para empezar a utilizar AWS Glue:
+ [Primeros pasos con AWS Glue Skill Builder de AWS](https://explore.skillbuilder.aws/learn/course/external/view/elearning/8171/getting-started-with-aws-glue)
+ [Introducción a () AWS Glue Data Catalog](start-data-catalog.md)
# Configuración de AWS Glue Studio
Complete las tareas de esta sección cuando utilice AWS Glue para operaciones de ETL visuales por primera vez:
**Topics**
+ [Revisar los permisos de IAM necesarios para el usuario de AWS Glue Studio](getting-started-min-privs.md)
+ [Revisar los permisos de IAM necesarios para trabajos de ETL.](getting-started-min-privs-job.md)
+ [Definición de permisos de IAM para AWS Glue Studio](getting-started-iam-permissions.md)
+ [Configurar una VPC para su trabajo de ETL](getting-started-vpc-config.md)
# Revisar los permisos de IAM necesarios para el usuario de AWS Glue Studio
Para utilizar AWS Glue Studio, el usuario debe tener acceso a diversos recursos de AWS. El usuario debe poder ver y seleccionar buckets de Amazon S3, políticas y roles de IAM, y objetos de AWS Glue Data Catalog.
## AWS GluePermisos de servicios de
AWS Glue Studio utiliza las acciones y recursos del servicio de AWS Glue. Su usuario necesita permisos sobre estas acciones y recursos para utilizar de manera eficaz AWS Glue Studio. Puede conceder al usuario de AWS Glue Studio la política administrada de `AWSGlueConsoleFullAccess` o crear una política personalizada con un conjunto de permisos más pequeño.
**importante**
Según las mejores prácticas de seguridad, se recomienda restringir el acceso mediante políticas más estrictas para limitar aún más el acceso al bucket de Amazon S3 y grupos de registros de Amazon CloudWatch. Para ver un ejemplo de política de Amazon S3, consulte [Cómo escribir políticas de IAM: cómo conceder acceso a un bucket de Amazon S3](https://aws.amazon.com/blogs/security/writing-iam-policies-how-to-grant-access-to-an-amazon-s3-bucket/).
## Creación de políticas de IAM personalizadas para AWS Glue Studio
Puede crear una política personalizada con un conjunto de permisos más pequeño para AWS Glue Studio. La política puede conceder permisos para un subconjunto de objetos o acciones. Utilice la siguiente información al crear una política personalizada.
Para utilizar las API de AWS Glue Studio, incluye `glue:UseGlueStudio` en la política de acción de los permisos de IAM. Utilizar `glue:UseGlueStudio` le permitirá acceder a todas las acciones de AWS Glue Studio, incluso a las que se vayan agregando a la API a lo largo del tiempo.
Para obtener más información acerca de las acciones definidas por AWS Glue, consulte [Acciones definidas por AWS Glue](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglue.html).
**Acciones de preparación y creación de datos**
+ SendRecipeAction
+ GetRecipeAction
**Acciones de gráficos acíclicos dirigidos (DAG**
+ CreateDag
+ UpdateDag
+ GetDag
+ DeleteDag
**Acciones de trabajo**
+ SaveJob
+ GetJob
+ CreateJob
+ DeleteJob
+ GetJobs
+ UpdateJob
**Acciones de ejecución de trabajo**
+ StartJobRun
+ GetJobRuns
+ BatchStopJobRun
+ GetJobRun
+ QueryJobRuns
+ QueryJobs
+ QueryJobRunsAggregated
**Acciones de esquemas**
+ GetSchema
+ GetInferredSchema
**Acciones de la base de datos**
+ GetDatabases
**Acciones del plan**
+ GetPlan
**Acciones de la tabla**
+ SearchTables
+ GetTables
+ GetTable
**Acciones de conexión**
+ CreateConnection
+ DeleteConnection
+ UpdateConnection
+ GetConnections
+ GetConnection
**Acciones de asignación**
+ GetMapping
**Acciones de proxy de S**
+ ListBuckets
+ ListObjectsV2
+ GetBucketLocation
**Acciones de configuración de seguridad**
+ GetSecurityConfigurations
**Acción de script**
+ CreateScript (diferente de la API del mismo nombre en AWS Glue)
## Acceso a API de AWS Glue Studio
Para acceder a AWS Glue Studio, agregue `glue:UseGlueStudio` a la lista de políticas de acciones de los permisos de IAM.
En el siguiente ejemplo, se ha incluido `glue:UseGlueStudio` en la política de acción, pero las API de AWS Glue Studio no están identificadas individualmente. Esto se debe a que cuando se incluye `glue:UseGlueStudio` se concede automáticamente acceso a las API internas sin tener que especificar las API de AWS Glue Studio individuales en los permisos de IAM.
En el ejemplo, las políticas de acción adicionales que aparecen (por ejemplo, `glue:SearchTables`) no son API de AWS Glue Studio, de modo que se deberán incluir en los permisos de IAM según sea necesario. También se pueden incluir acciones de proxy de Amazon S3 para especificar el nivel de acceso de Amazon S3 que se desea conceder. La siguiente política de ejemplo proporciona acceso para abrir AWS Glue Studio, crear un trabajo visual y guardarlo o ejecutarlo si el rol de IAM seleccionado tiene suficiente acceso.
## Permisos de vista previa de datos y cuaderno
Las vistas previas de datos y los cuaderno le permiten ver una muestra de los datos en cualquier etapa del trabajo (lectura, transformación, escritura), sin tener que ejecutar el trabajo. Se especifica un rol de AWS Identity and Access Management (IAM) para que utilice AWS Glue Studio al acceder a los datos. Los roles de IAM están destinados a ser asumibles y no tienen asociadas credenciales estándar a largo plazo, como una contraseña o clave de acceso. En lugar de esto, cuando AWS Glue Studio asume el rol, IAM le proporciona credenciales de seguridad temporales.
Para garantizar que las vistas previas de datos y los comandos de cuaderno funcionen correctamente, utilice un rol que tenga un nombre que empiece por la cadena `AWSGlueServiceRole`. Si decide utilizar otro nombre para el rol, debe agregar el permiso `iam:passrole` y configurar una política para el rol en IAM. Para obtener más información, consulte [Crear una política de IAM para roles no denominados “AWSGlueServiceRole\$1”](getting-started-iam-permissions.md#create-iam-policy).
**aviso**
Si un rol concede el permiso `iam:passrole` a un cuaderno e implementa el encadenamiento de roles, un usuario podría obtener acceso involuntariamente al cuaderno. Actualmente no se ha implementado ninguna auditoría que le permita monitorear a qué usuarios se les ha concedido acceso al cuaderno.
Si desea denegar a una identidad de IAM la capacidad de crear sesiones de vista previa de datos, consulte el siguiente ejemplo [Cómo denegar a una identidad la capacidad de crear sesiones de vista previa de datos](security_iam_id-based-policy-examples.md#deny-data-preview-sessions-per-identity).
## Amazon CloudWatchPermisos de
Puede monitorear sus trabajos de AWS Glue Studio mediante Amazon CloudWatch, que recopila y procesa los datos sin procesar de AWS Glue en métricas legibles y casi en tiempo real. De forma predeterminada, los datos de las métricas de AWS Glue se envían a CloudWatch en forma automática. Para obtener más información, consulte [¿Qué es Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) en la *Guía del usuario de Amazon CloudWatch*, y [Métricas de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/monitoring-awsglue-with-cloudwatch-metrics.html#awsglue-metrics) en la *Guía para desarrolladores de AWS Glue*.
Para acceder a los paneles de CloudWatch, el usuario que accede a AWS Glue Studio necesita alguna de las siguientes:
+ La política `AdministratorAccess`
+ La política `CloudWatchFullAccess`
+ Una política personalizada que incluya uno o varios de estos permisos específicos:
+ `cloudwatch:GetDashboard` y `cloudwatch:ListDashboards` para ver paneles
+ `cloudwatch:PutDashboard` para poder crear o modificar paneles
+ `cloudwatch:DeleteDashboards` para eliminar paneles
Para obtener más información sobre cómo cambiar los permisos de un usuario de IAM mediante políticas, consulte [Cambio de los permisos de un usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) en la *Guía del usuario de IAM*.
# Revisar los permisos de IAM necesarios para trabajos de ETL.
Cuando crea un trabajo con AWS Glue Studio, el trabajo asume los permisos del rol de IAM que se especifica al crear el trabajo. Este rol de IAM debe tener permiso para extraer datos de su origen de datos, escribir en su destino y acceder a recursos de AWS Glue.
El nombre del rol que cree para el trabajo debe comenzar con la cadena `AWSGlueServiceRole` para que AWS Glue Studio lo utilice correctamente. Por ejemplo, podría asignar el siguiente nombre a su rol: `AWSGlueServiceRole-FlightDataJob`.
## Permisos de origen de datos y destino de datos
Un trabajo de AWS Glue Studio debe tener acceso a Amazon S3 para todos los orígenes, destinos, scripts y directorios temporales que utilice en su trabajo. Puede crear una política para proporcionar un acceso detallado a determinados recursos de Amazon S3.
+ Los orígenes de datos requieren permisos `s3:ListBucket` y `s3:GetObject`.
+ Los destinos de datos requieren permisos `s3:ListBucket`, `s3:PutObject` y `s3:DeleteObject`.
**nota**
Su política de IAM debe permitir `s3:GetObject` para los buckets específicos que se utilizan para alojar las transformaciones AWS Glue.
Los siguientes buckets pertenecen a la cuenta de servicio de AWS y se pueden leer en todo el mundo. Estos buckets sirven como depósito del código fuente correspondiente a un subconjunto de transformaciones al que se puede acceder mediante el editor visual AWS Glue Studio. Los permisos del bucket están configurados para denegar cualquier otra acción de la API en este. Los scripts que proporcionamos para las transformaciones pueden ser leídos por cualquier persona, pero nadie ajeno a nuestro equipo de servicio puede “poner” nada en ellos. Cuando se ejecuta el trabajo de AWS Glue, ese archivo se extrae como importación local y, por lo tanto, se descarga en el contenedor local. Después de eso, no hay más comunicación con esa cuenta.
Región: nombre del bucket
+ af-south-1: aws-glue-studio-transforms-762339736633-prod-af-south-1
+ ap-east-1: aws-glue-studio-transforms-125979764932-prod-ap-east-1
+ ap-northeast-2: aws-glue-studio-transforms-673535381443-prod-ap-northeast-2
+ ap-northeast-3: aws-glue-studio-transforms-149976050262-prod-ap-northeast-3
+ ap-south-1: aws-glue-studio-transforms-584702181950-prod-ap-south-1
+ ap-south-2: aws-glue-studio-transforms-380279651983-prod-ap-south-2
+ ap-southeast-1: aws-glue-studio-transforms-737106620487-prod-ap-southeast-1
+ ap-southeast-2: aws-glue-studio-transforms-234881715811-prod-ap-southeast-2
+ ap-southeast-3: aws-glue-studio-transforms-151265630221-prod-ap-southeast-3
+ ap-southeast-4: aws-glue-studio-transforms-052235663858-prod-ap-southeast-4
+ ca-central-1: aws-glue-studio-transforms-622716468547-prod-ca-central-1
+ ca-west-1: aws-glue-studio-transforms-915795495192-prod-ca-west-1
+ eu-central-1: aws-glue-studio-transforms-560373232017-prod-eu-central-1
+ eu-central-2: aws-glue-studio-transforms-907358657121-prod-eu-central-2
+ eu-north-1: aws-glue-studio-transforms-312557305497-prod-eu-north-1
+ eu-south-1: aws-glue-studio-transforms-939684186351-prod-eu-south-1
+ eu-south-2: aws-glue-studio-transforms-239737454084-prod-eu-south-2
+ eu-west-1: aws-glue-studio-transforms-244479516193-prod-eu-west-1
+ eu-west-2: aws-glue-studio-transforms-804222392271-prod-eu-west-2
+ eu-west-3: aws-glue-studio-transforms-371299348807-prod-eu-west-3
+ il-central-1: aws-glue-studio-transforms-806964611811-prod-il-central-1
+ me-central-1: aws-glue-studio-transforms-733304270342-prod-me-central-1
+ me-south-1: aws-glue-studio-transforms-112120182341-prod-me-south-1
+ sa-east-1: aws-glue-studio-transforms-881619130292-prod-sa-east-1
+ us-east-1: aws-glue-studio-transforms-510798373988-prod-us-east-1
+ us-east-2: aws-glue-studio-transforms-251189692203-prod-us-east-2
+ us-west-1: aws-glue-studio-transforms-593230150239-prod-us-west-1
+ us-west-2: aws-glue-studio-transforms-818035625594-prod-us-west-2
+ ap-northeast-1: aws-glue-studio-transforms-200493242866-prod-ap-northeast-1
+ cn-north-1: aws-glue-studio-transforms-071033555442-prod-cn-north-1
+ cn-northwest-1: aws-glue-studio-transforms-070947029561-prod-cn-northwest-1
+ us-gov-west-1: aws-glue-studio-transforms-227493901923-prod-us-gov-west-1-2604
+ eusc-de-east-1: aws-glue-studio-transforms-780995497573-prod-eusc-de-east-1-555
Si elige Amazon Redshift como origen de datos, puede proporcionar un rol para los permisos de clúster. Los trabajos que se ejecutan respecto de un clúster de Amazon Redshift envían comandos que acceden a Amazon S3 para el almacenamiento temporal mediante credenciales temporales. Si el trabajo se ejecuta durante más de una hora, estas credenciales caducarán, y provocarán un error en el trabajo. Para evitar este problema, puede asignar un rol al clúster de Amazon Redshift que conceda los permisos necesarios a los trabajos que utilizan credenciales temporales. Para obtener más información, consulte [Movimiento de datos desde y hacia Amazon Redshift](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-programming-etl-redshift.html) en la *Guía para desarrolladores de AWS Glue*.
Si el trabajo utiliza orígenes o destinos de datos distintos de Amazon S3, debe asociar los permisos necesarios al rol de IAM utilizado por el trabajo para acceder a estos orígenes y destinos de datos. Para obtener más información, consulte [Configuración del entorno para obtener acceso a almacenes de datos](https://docs.aws.amazon.com/glue/latest/dg/start-connecting.html) en la *Guía para desarrolladores de AWS Glue*.
Si utiliza conectores y conexiones para el almacén de datos, necesita permisos adicionales, como se describe en [Permisos necesarios para utilizar conectores](#getting-started-min-privs-connectors).
## Permisos necesarios para eliminar trabajos
En AWS Glue Studio, puede seleccionar múltiples trabajos para eliminar en la consola. Para realizar esta acción, debe tener el permiso `glue:BatchDeleteJob`. Esto es diferente de la consola de AWS Glue, que requiere el permiso `glue:DeleteJob` para eliminar trabajos.
## AWS Key Management ServicePermisos de
Si tiene previsto acceder a orígenes y destinos de Amazon S3 que utilizan cifrado del lado del servidor con AWS Key Management Service (AWS KMS), adjunte una política al rol de AWS Glue Studio utilizado por el trabajo que permita al trabajo descifrar los datos. El rol del trabajo necesita los permisos `kms:ReEncrypt`, `kms:GenerateDataKey` y `kms:DescribeKey`. Además, el rol del trabajo necesita el permiso `kms:Decrypt` para cargar o descargar un objeto de Amazon S3 cifrado con una clave maestra del cliente (CMK) AWS KMS.
La utilización de CMK de AWS KMS conlleva cargos adicionales. Para obtener más información, consulte [Conceptos de AWS Key Management Service: claves maestras del cliente (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) y [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing) en la *Guía para desarrolladores de AWS Key Management Service*.
## Permisos necesarios para utilizar conectores
Si utiliza un conector personalizado y conexión de AWS Glue para acceder a un almacén de datos, el rol utilizado para ejecutar el trabajo de ETL de AWS Glue necesita permisos adicionales asociados:
+ La política administrada de AWS `AmazonEC2ContainerRegistryReadOnly` para acceder a los conectores adquiridos en AWS Marketplace.
+ Los permisos `glue:GetJob` y `glue:GetJobs`.
+ AWS Secrets ManagerLos permisos de para acceder a los secretos que se utilizan con las conexiones. Consulte [Ejemplo: Permiso para recuperar valores de secretos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html#auth-and-access_examples_read) para ver ejemplos de políticas de IAM.
Si sus trabajos de ETL de AWS Glue se ejecutan en una VPC que ejecuta Amazon VPC, la VPC debe configurarse como se describe en [Configurar una VPC para su trabajo de ETL](getting-started-vpc-config.md).
# Definición de permisos de IAM para AWS Glue Studio
Puede crear los roles y asignar políticas a usuarios y roles de trabajo mediante el usuario administrado de AWS.
Puede utilizar la política administrada de AWS **AWSGlueConsoleFullAccess** para proporcionar los permisos necesarios para utilizar la consola de AWS Glue Studio.
Para crear su propia política, siga los pasos documentados en [Crear una política de IAM para el servicio AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/create-service-policy.html) en la *Guía para desarrolladores de AWS Glue*. Incluya los permisos de IAM descritos anteriormente en [Revisar los permisos de IAM necesarios para el usuario de AWS Glue Studio](getting-started-min-privs.md).
**Topics**
+ [Adjuntar políticas al usuario de AWS Glue Studio](#attach-iam-policy)
+ [Crear una política de IAM para roles no denominados “AWSGlueServiceRole\$1”](#create-iam-policy)
## Adjuntar políticas al usuario de AWS Glue Studio
Todo usuario de AWS que inicie sesión en la consola de AWS Glue Studio debe tener permisos para acceder a recursos específicos. Estos permisos los concede mediante la asignación de políticas de IAM al usuario.
**Para adjuntar la política administrada **AWSGlueConsoleFullAccess** a un usuario**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. En la lista de políticas, seleccione la casilla de verificación situada junto a **AWSGlueConsoleFullAccess**. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista de políticas.
1. Seleccione **Policy actions (Acciones de la política)** y, a continuación, **Attach (Adjuntar)**.
1. Seleccione el usuario al que asociará la política. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar el usuario al que asociará la política, seleccione **Attach policy** (Asociar política).
1. Repita los pasos anteriores para adjuntar políticas adicionales al usuario según sea necesario.
## Crear una política de IAM para roles no denominados “AWSGlueServiceRole\$1”
**Para configurar una política de IAM para los roles utilizados por AWS Glue Studio**
1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Agregue una nueva política de IAM. Puede agregar a una política existente o crear una nueva política insertada de IAM. Para crear una política de IAM:
1. Elija **Policies** y después, **Create Policy**. Si aparece el botón **Get Started (Empezar)**, elíjalo y, a continuación, elija **Create Policy (Crear política)**.
1. Junto a **Create Your Own Policy**, seleccione **Select**.
1. En **Policy Name (Nombre de política)**, escriba cualquier valor que sea fácil de consultar más tarde. Si lo desea, escriba un texto descriptivo en **Description (Descripción)**.
1. En **Policy Document (Documento de política)**, escriba una instrucción de política con el formato siguiente y, a continuación, elija **Create Policy (Crear política)**:
1. Copie y pegue los siguientes bloques en la política en la matriz “Declaración” y sustituya *my-interactive-session-role-prefix* con el prefijo para que todos los roles comunes se asocien con permisos para AWS Glue.
```
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/my-interactive-session-role-prefix*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com "
]
}
}
}
```
Este es el ejemplo completo con las matrices Version (Versión) y Statement (Declaración) incluidas en la política
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/my-interactive-session-role-prefix*",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com "
]
}
}
}
]
}
```
------
1. Para habilitar la política para un usuario, elija **Users (Usuarios)**.
1. Elija el usuario de a quien desea asociar la política.
# Configurar una VPC para su trabajo de ETL
Puede utilizar Amazon Virtual Private Cloud (Amazon VPC) para definir una red virtual en su propia área aislada lógicamente dentro de la Nube de AWS, conocida como una *nube privada virtual (VPC)*. Puede lanzar recursos de AWS, como, por ejemplo, instancias, en su VPC. Una VPC es prácticamente idéntica a una red tradicional que usted puede operar en su propio centro de datos, con los beneficios que supone utilizar la infraestructura escalable de AWS. Puede configurar la VPC, seleccionar su rango de direcciones IP, crear subredes y configurar tablas de enrutamiento, puerta de enlace de red y ajustes de seguridad. Ahora puede conectar sus instancias de la VPC a Internet. Puede conectar la VPC a su propio centro de datos corporativo, lo que convierte la Nube de AWS en una ampliación del centro de datos. Para proteger los recursos de cada subred, puede utilizar varias capas de seguridad, incluidos grupos de seguridad y listas de control de acceso a la red. Para obtener más información, consulte la [Guía del usuario de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).
Puede configurar sus trabajo de ETL de AWS Glue para que se ejecuten dentro de una VPC cuando se utilicen conectores. Debe configurar la VPC para lo siguiente, según sea necesario:
+ Acceso a la red pública de almacenes de datos externos a AWS. Todos los almacenes de datos a los que obtiene acceso el trabajo deben estar disponibles a partir de la subred de la VPC.
+ Si su trabajo necesita obtener acceso a los recursos de la VPC y a la red pública de Internet, la VPC debe tener una gateway de NAT (traducción de direcciones de red) dentro de la VPC.
Para obtener más información, consulte [Configuración del entorno para obtener acceso a almacenes de datos](https://docs.aws.amazon.com/glue/latest/dg/start-connecting.html) en la *Guía para desarrolladores de AWS Glue*.
# Introducción a los cuaderno en AWS Glue Studio
Al iniciar un cuaderno a través de AWS Glue Studio, todos los pasos de configuración se hacen por usted para que, después de unos segundos, pueda explorar los datos y comenzar a desarrollar el script de trabajo.
Las siguientes secciones describen cómo crear un rol y otorgar los permisos adecuados para utilizar cuadernos en AWS Glue Studio para trabajos de ETL.
Para obtener más información sobre las acciones definidas por AWS Glue, consulte [Acciones definidas por AWS Glue](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglue.html).
**Topics**
+ [Concesión de permisos para el rol de IAM](#studio-notebook-permissions)
## Concesión de permisos para el rol de IAM
Configurar AWS Glue Studio es un requisito previo para utilizar cuadernos.
Para utilizar cuadernos en AWS Glue, la función requiere lo siguiente:
+ Una relación de confianza con AWS Glue para la acción `sts:AssumeRole` y, si desea etiquetar, `sts:TagSession`.
+ Una política de IAM que contenga todos los permisos para cuadernos, AWS Glue y sesiones interactivas.
+ Una política de IAM para un rol de pase, ya que el rol debe poder pasarse a sí mismo desde el cuaderno a sesiones interactivas.
Por ejemplo, cuando crea un nuevo rol, puede agregar una política administrada de AWS estándar como `AWSGlueConsoleFullAccessRole` al rol y luego agregar una nueva política para las operaciones del cuaderno y otra para la política IAM PassRole.
### Acciones necesarias para una relación de confianza con AWS Glue
Al iniciar una sesión de cuaderno, se debe agregar `sts:AssumeRole` a la relación de confianza del rol que se pase al cuaderno. Si la sesión incluye etiquetas, también se debe pasar la acción `sts:TagSession`. Sin estas acciones, la sesión del cuaderno no puede iniciarse.
Por ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "glue.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Políticas que contienen permisos de IAM para cuadernos
La siguiente política de ejemplo describe los permisos de AWS IAM requeridos para cuadernos. Si va a crear un nuevo rol, cree una política que contenga lo siguiente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:StartNotebook",
"glue:TerminateNotebook",
"glue:GlueNotebookRefreshCredentials",
"glue:DeregisterDataPreview",
"glue:GetNotebookInstanceStatus",
"glue:GlueNotebookAuthorize"
],
"Resource": "*"
}
]
}
```
------
Puede utilizar las siguientes políticas de IAM para permitir el acceso a recursos específicos:
+ *AwsGlueSessionUserRestrictedNotebookServiceRole*: proporciona acceso completo a todos los recursos de AWS Glue, excepto las sesiones. Permite a los usuarios crear y utilizar solo las sesiones de cuadernos que estén asociadas a esos usuarios. Esta política también incluye otros permisos que AWS Glue necesita para administrar recursos de AWS Glue en otros servicios de AWS.
+ *AwsGlueSessionUserRestrictedNotebookPolicy*: proporciona permisos que permiten a los usuarios crear y utilizar solo las sesiones de cuadernos que estén asociadas a esos usuarios. Esta política también incluye permisos para que los usuarios puedan pasar expresamente un rol de sesión de AWS Glue restringida.
### Política de IAM para pasar un rol
Cuando se crea un cuaderno con un rol, ese rol se pasa a las sesiones interactivas para que se pueda utilizar el mismo rol en ambos lugares. Como tal, el permiso `iam:PassRole` debe formar parte de la política del rol.
Cree una nueva política para el rol mediante el siguiente ejemplo. Reemplace el número de cuenta por el suyo y por el nombre del rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/"
}
]
}
```
------