Políticas que contienen las operaciones de la API para registrar los tipos de conexiones y crear y usar conexiones - AWS Glue

Políticas que contienen las operaciones de la API para registrar los tipos de conexiones y crear y usar conexiones

En el siguiente ejemplo de la política de IAM se describen los permisos necesarios para registrar, crear, administrar y utilizar conexiones de la API de REST con los trabajos de ETL de la AWS Glue. Si va a crear un nuevo rol, cree una política que contenga lo siguiente: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:RegisterConnectionType",
                "glue:ListConnectionTypes",
                "glue:DescribeConnectionType",
                "glue:CreateConnection",
                "glue:RefreshOAuth2Tokens",
                "glue:ListEntities",
                "glue:DescribeEntity"
            ],
            "Resource": "*"
        }
    ]
}

También puede usar las siguientes políticas de IAM para permitir el acceso:

  • AWSGlueServiceRole: da acceso a recursos que precisan diversos procesos de AWS Glue para ejecutarse en su nombre. Entre estos recursos se incluyen AWS Glue, Amazon S3, IAM, CloudWatch Logs y Amazon EC2. Si aplica la convención de nomenclatura en los recursos especificados en esta política, los procesos de AWS Glue tienen los permisos necesarios. Normalmente, esta política se asocia a los roles que se especifican a la hora de definir rastreadores, trabajos y puntos de conexión de desarrollo.

  • AWSGlueConsoleFullAccess: otorga acceso total a los recursos de AWS Glue cuando una identidad a la que está asociada la política utiliza la Consola de administración de AWS. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Esta política se suele adjuntar a los usuarios de la consola AWS Glue.

Si se proporcionan opciones de red al crear una conexión de la API de REST, también se deben incluir las siguientes acciones en el rol de IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue",
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}