Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS Batch Políticas, funciones y permisos de IAM
De forma predeterminada, los usuarios no tienen permiso para crear o modificar AWS Batch recursos ni para realizar tareas mediante la AWS Batch API, la AWS Batch consola o la AWS CLI. Para permitir a los usuarios trabajar con estos recursos, debe crear políticas de IAM que concedan permisos para utilizar recursos específicos y acciones de la API. A continuación, asocie esas políticas a los usuarios o grupos que necesiten esos permisos.
Cuando se adjunta una política a un usuario o grupo de usuarios, la política permite o deniega los permisos para realizar tareas específicas en recursos específicos. Para obtener más información, consulte [Permisos y políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) en la *Guía del usuario de IAM*. Para obtener más información sobre cómo crear y administrar políticas personalizadas de IAM, consulte [Administración de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
AWS Batch hace llamadas a otras personas Servicios de AWS en tu nombre. Como resultado, AWS Batch debe autenticarse con sus credenciales. Más específicamente, AWS Batch se autentica mediante la creación de una función y una política de IAM que proporcionen estos permisos. A continuación, asocia el rol a sus entornos de computación al crearlos. *Para obtener más información, consulte Funciones de [IAM[Rol de instancia de Amazon ECS](instance_IAM_role.md), Uso de funciones](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html) [vinculadas a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) y [Creación de una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la Guía del usuario de IAM.*
**Topics**
+ [Estructura de la política de IAM](iam-policy-structure.md)
+ [Recurso: ejemplos de políticas para AWS Batch](ExamplePolicies_BATCH.md)
+ [Recurso: política AWS Batch gestionada](batch_managed_policies.md)
# Estructura de la política de IAM
En los siguientes temas se explica la estructura de una política de IAM.
**Topics**
+ [Sintaxis de la política](#policy-syntax)
+ [Acciones de API para AWS Batch](#UsingWithbatch_Actions)
+ [Nombres de recursos de Amazon para AWS Batch](#batch_ARN_Format)
+ [Comprobación de que los usuarios tienen los permisos necesarios](#check-required-permissions)
## Sintaxis de la política
Una política de IAM es un documento JSON que contiene una o varias instrucciones. Cada instrucción tiene la estructura siguiente.
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Una instrucción está compuesta por cuatro elementos principales:
+ **Effect:** el valor de *effect* puede ser `Allow` o `Deny`. Por defecto, los usuarios no tienen permiso para utilizar recursos y acciones de la API. De este modo, se deniegan todas las solicitudes. Si se concede un permiso explícito se anula el valor predeterminado. Una denegación explícita invalida cualquier permiso concedido.
+ **Acción**: La *acción* es la acción específica de la API para la que está concediendo o denegando el permiso. Para obtener instrucciones acerca de cómo especificar la *acción*, consulte [Acciones de API para AWS Batch](#UsingWithbatch_Actions).
+ **Resource**: el recurso al que afecta la acción. Con algunas acciones de la API de AWS Batch , puede incluir recursos específicos en su política que pueden ser creados o modificados por la acción. Para especificar un recurso en la instrucción se utiliza el nombre de recurso de Amazon (ARN). Para obtener más información, consulte [Se admiten permisos a nivel de recursos para AWS Batch las acciones de la API](batch-supported-iam-actions-resources.md) y [Nombres de recursos de Amazon para AWS Batch](#batch_ARN_Format). Si la operación de la AWS Batch API actualmente no admite permisos a nivel de recursos, incluye un comodín (\$1) para especificar que la acción puede afectar a todos los recursos.
+ **Condition**: las condiciones son opcionales. Se pueden usar para controlar cuándo está en vigor la política.
Para obtener más información sobre ejemplos de declaraciones de política de IAM, consulte. AWS Batch[Recurso: ejemplos de políticas para AWS Batch](ExamplePolicies_BATCH.md)
## Acciones de API para AWS Batch
En una instrucción de política de IAM, puede especificar cualquier acción de API de cualquier servicio que sea compatible con IAM. Para AWS Batch, utilice el siguiente prefijo con el nombre de la acción de la API: `batch:` (por ejemplo, `batch:SubmitJob` y`batch:CreateComputeEnvironment`).
Para especificar varias acciones en una única sentencia, separe cada acción con una coma.
```
"Action": ["batch:action1", "batch:action2"]
```
También puede especificar varias acciones mediante un comodín (\$1). Por ejemplo, puede especificar todas las acciones cuyo nombre empiece por la palabra “Describe”.
```
"Action": "batch:Describe*"
```
Para especificar todas las acciones AWS Batch de la API, incluye un comodín (\$1).
```
"Action": "batch:*"
```
Para ver una lista de AWS Batch acciones, consulta la sección [Acciones](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) en la *referencia de la AWS Batch API*.
## Nombres de recursos de Amazon para AWS Batch
Cada declaración de política de IAM se aplica a los recursos que especifique mediante sus nombres de recursos de Amazon (ARNs).
Un Nombre de recurso de Amazon (ARN) tiene la siguiente sintaxis general:
```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```
*service*
El servicio (por ejemplo, `batch`).
*region*
La del Región de AWS recurso (por ejemplo,`us-east-2`).
*account*
El Cuenta de AWS ID, sin guiones (por ejemplo,`123456789012`).
*resourceType*
El tipo de recurso (por ejemplo, `compute-environment`).
*resourcePath*
Una ruta que identifica al recurso. Puede utilizar un comodín (\$1) en sus rutas.
AWS Batch En la actualidad, las operaciones de la API admiten permisos a nivel de recursos en varias operaciones de la API. Para obtener más información, consulte [Se admiten permisos a nivel de recursos para AWS Batch las acciones de la API](batch-supported-iam-actions-resources.md). Para especificar todos los recursos, o si una acción específica de la API no es compatible ARNs, incluye un comodín (\$1) en el elemento. `Resource`
```
"Resource": "*"
```
## Comprobación de que los usuarios tienen los permisos necesarios
Antes de poner una política de IAM en producción, asegúrese de que concede a los usuarios los permisos para utilizar las acciones y recursos específicos de la API que necesitan.
Para ello, cree primero un usuario de prueba y adjúntele la política de IAM. A continuación, realice una solicitud como usuario de prueba. Puede realizar solicitudes de prueba en la consola o con la AWS CLI.
**nota**
También puede probar las políticas con el [Simulador de política de IAM](https://policysim.aws.amazon.com/home/index.jsp?#). Para obtener más información sobre el simulador de políticas, consulte [Trabajar con el simulador de política de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) en la *Guía del usuario de IAM*.
Si la política no concede los permisos previstos al usuario o es demasiado permisiva, puede ajustarla según sea necesario. Repita las pruebas hasta obtener el resultado deseado.
**importante**
Puede que los cambios en la política tarden varios minutos en propagarse y surtir efecto. Por lo tanto, le recomendamos que deje pasar al menos cinco minutos antes de probar las actualizaciones de sus políticas.
Si se produce un error en la comprobación de autorización, la solicitud devuelve un mensaje codificado con información de diagnóstico. Puede descodificar el mensaje usando la acción `DecodeAuthorizationMessage`. Para obtener más información, consulta [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)la *Referencia de la AWS Security Token Service API* y [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)la *Referencia de AWS CLI comandos*.
# Recurso: ejemplos de políticas para AWS Batch
Puede crear políticas de IAM específicas para restringir las llamadas y los recursos a los que tienen acceso los usuarios de su cuenta. A continuación, puede asignar esas políticas a los usuarios.
Cuando se adjunta una política a un usuario o grupo de usuarios, esta permite o deniega a los usuarios el permiso para tareas específicas en recursos específicos. Para obtener más información, consulte [Permisos y políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) en la *Guía del usuario de IAM*. Para obtener instrucciones sobre cómo gestionar y crear políticas de IAM personalizadas, consulte [Gestión de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
Los siguientes ejemplos muestran instrucciones de política que puede utilizar para controlar los permisos que los usuarios de tienen en AWS Batch.
**Topics**
+ [Acceso de solo lectura](iam-example-read-only.md)
+ [Recurso: restricción de usuario, imagen, privilegio y rol](iam-example-job-def.md)
+ [Restringir envío de trabajos](iam-example-restrict-job-submission.md)
+ [Restricción de una cola de trabajos](iam-example-restrict-job-queue.md)
+ [Denegación de la acción cuando todas las condiciones coincidan con las cadenas](iam-example-job-def-deny-all-image-logdriver.md)
+ [Recurso: denegación de la acción cuando alguna clave de condición coincida con una cadena](iam-example-job-def-deny-any-image-logdriver.md)
+ [Utilice la clave de condición `batch:ShareIdentifier`](iam-example-share-identifier.md)
+ [Gestione los recursos de SageMaker IA con AWS Batch](iam-example-full-access-service-environment.md)
+ [Restrinja el envío de trabajos por etiquetas de recursos](iam-example-restrict-job-submission-by-tags.md)
# Recurso: Acceso de solo lectura para AWS Batch
La siguiente política otorga a los usuarios permisos para usar todas las acciones de la AWS Batch API cuyo nombre comience por y. `Describe` `List`
A menos que otra instrucción les otorgue permiso para hacerlo, los usuarios no tienen permiso para llevar a cabo ninguna acción en los recursos. De forma predeterminada, se les niega el permiso para usar las acciones de la API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:Describe*",
"batch:List*",
"batch:Get*"
],
"Resource": "*"
}
]
}
```
------
# Recurso: restricción del envío de un trabajo según el usuario de POSIX, la imagen de Docker el nivel de privilegios y el rol en el envío del trabajo
La siguiente política permite a un usuario POSIX administrar su propio conjunto de definiciones de trabajo restringidas.
Utilice la primera y la segunda sentencia para registrar y anular el registro de cualquier nombre de definición de trabajo cuyo nombre lleve el prefijo. *JobDefA\$1*
La primera instrucción también utiliza claves de contexto de condición para restringir los valores de usuario de POSIX, estado de privilegio e imagen de contenedor en las `containerProperties` de una definición de trabajo. Para obtener más información, consulta [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) en la *AWS Batch Referencia de la API de *. En este ejemplo, las definiciones de trabajo solo se pueden registrar cuando el usuario POSIX está configurado en `nobody`. El indicador privilegiado está establecido en `false`. Por ejemplo, el siguiente comando muestra las herramientas `myImage` de un repositorio de Amazon ECR.
**importante**
Docker resuelve el parámetro `user` de ese usuario `uid` desde la imagen del contenedor. En la mayoría de los casos, se encuentra en el archivo `/etc/passwd` de la imagen del contenedor. Esta resolución de nombres se puede evitar si usan valores de `uid` directos tanto en la definición de trabajo como en las políticas de IAM asociadas. Tanto las operaciones de API de AWS Batch como las claves condicionales de IAM `batch:User` admiten valores numéricos.
Uso de la tercera instrucción para restringir únicamente un rol específico a una definición de trabajo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
],
"Condition": {
"StringEquals": {
"batch:User": [
"nobody"
],
"batch:Image": [
"999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
]
},
"Bool": {
"batch:Privileged": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"batch:DeregisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::999999999999:role/MyBatchJobRole"
]
}
]
}
```
------
# Recurso: restricción del envío de un trabajo según el prefijo de la definición de trabajo
Utilice la siguiente política para enviar trabajos a cualquier cola de trabajos con cualquier nombre de definición de trabajo que comience por. *JobDefA*
**importante**
Al determinar el ámbito del acceso en el nivel de recursos para el envío de trabajos, debe proporcionar los tipos de recursos de cola de trabajos y de definición de trabajo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:111122223333:job-definition/JobDefA_*",
"arn:aws:batch:us-east-2:111122223333:job-queue/*"
]
}
]
}
```
------
# Recurso: restricción de una cola de trabajos
Uso de la siguiente política para enviar trabajos a una cola de trabajos denominada **queue1** con cualquier nombre de definición de trabajo.
**importante**
Al determinar el ámbito del acceso en el nivel de recursos para el envío de trabajos, debe proporcionar los tipos de recursos de cola de trabajos y de definición de trabajo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:888888888888:job-definition/*",
"arn:aws:batch:us-east-2:888888888888:job-queue/queue1"
]
}
]
}
```
------
# Denegación de la acción cuando todas las condiciones coincidan con las cadenas
La siguiente política deniega el acceso a la operación de la [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API cuando la clave de condición `batch:Image` (ID de imagen del contenedor) es "*string1*" y la clave de condición `batch:LogDriver` (controlador del registro del contenedor) es "»*string2*. AWS Batch evalúa las claves de condición de cada contenedor. Cuando un trabajo abarca varios contenedores, como un trabajo paralelo de varios nodos, es posible que los contenedores tengan configuraciones diferentes. Si se evalúan varias claves de condición en una instrucción, se combinan mediante la lógica `AND`. Por lo tanto, si alguna de las múltiples claves de condición no coincide con un contenedor, el efecto `Deny` no se aplica a ese contenedor. Por el contrario, es posible que se deniegue un contenedor diferente en el mismo trabajo.
Para ver la lista de claves de condición AWS Batch, consulte las [claves de condición AWS Batch en la](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) *Referencia de autorización de servicio*. A excepción de `batch:ShareIdentifier`, todas las claves de condición `batch` se pueden usar de esta manera. La clave de condición `batch:ShareIdentifier` se define para un trabajo, no para una definición de trabajo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": "batch:RegisterJobDefinition",
"Resource": "*",
"Condition": {
"StringEquals": {
"batch:Image": "string1",
"batch:LogDriver": "string2"
}
}
}
]
}
```
------
# Recurso: denegación de la acción cuando alguna clave de condición coincida con una cadena
La siguiente política deniega el acceso a la operación de la [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API cuando la clave de condición `batch:Image` (ID de imagen del contenedor) es "*string1*" o la clave de condición `batch:LogDriver` (controlador del registro del contenedor) es "»*string2*. Cuando un trabajo abarca varios contenedores, como un trabajo paralelo de varios nodos, es posible que los contenedores tengan configuraciones diferentes. Si se evalúan varias claves de condición en una instrucción, se combinan mediante la lógica `AND`. Por lo tanto, si alguna de las múltiples claves de condición no coincide con un contenedor, el efecto `Deny` no se aplica a ese contenedor. Por el contrario, es posible que se deniegue un contenedor diferente en el mismo trabajo.
Para ver la lista de claves de condición AWS Batch, consulte [Claves de condición AWS Batch en la Referencia](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) de *autorización de servicios*. A excepción de `batch:ShareIdentifier`, todas las claves de condición `batch` se pueden usar de esta manera. (La clave de condición `batch:ShareIdentifier` se define para un trabajo, no para una definición de trabajo).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:Image": [
"string1"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:LogDriver": [
"string2"
]
}
}
}
]
}
```
------
# Recurso: uso de la clave de condición `batch:ShareIdentifier`
Utilice la siguiente política para enviar los trabajos que utilizan la definición de trabajo `jobDefA` con la cola de trabajos `jobqueue1` con el identificador compartido `lowCpu`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:555555555555:job-definition/JobDefA",
"arn:aws:batch:us-east-2:555555555555:job-queue/jobqueue1"
],
"Condition": {
"StringEquals": {
"batch:ShareIdentifier": [
"lowCpu"
]
}
}
}
]
}
```
------
# Gestione los recursos de SageMaker IA con AWS Batch
Esta política permite AWS Batch gestionar los recursos de SageMaker IA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAWSBatchWithSagemaker",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "sagemaker-queuing.batch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
]
}
```
------
# Recurso: restrinja el envío de trabajos mediante etiquetas de recursos en la definición del trabajo y en la cola de trabajos
Utilice la siguiente política para enviar trabajos solo cuando la cola de trabajos tenga la etiqueta `Environment=dev` y la definición de trabajos la tenga. `Project=calc` Esta política muestra cómo utilizar las etiquetas de recursos para controlar el acceso a AWS Batch los recursos durante el envío de los trabajos.
**importante**
Al enviar trabajos con políticas que evalúen las etiquetas de recursos de las definiciones de trabajos, debe enviar los trabajos utilizando el formato de revisión de la definición de trabajos (`job-definition:revision`). Si envía trabajos sin especificar una revisión, las etiquetas de definición de trabajos no se evaluarán, lo que podría eludir los controles de acceso previstos. El `*:*` patrón del ARN del recurso exige que las presentaciones incluyan una revisión, lo que garantiza que las políticas de etiquetas se apliquen siempre de manera efectiva.
Esta política usa dos declaraciones independientes porque aplica diferentes condiciones de etiqueta a diferentes tipos de recursos. Al determinar el ámbito del acceso en el nivel de recursos para el envío de trabajos, debe proporcionar los tipos de recursos de cola de trabajos y de definición de trabajo.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-queue/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-definition/*:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "calc"
}
}
}
]
}
```
# Recurso: política AWS Batch gestionada
AWS Batch proporciona una política gestionada que puede adjuntar a los usuarios. Esta política otorga permiso para usar AWS Batch los recursos y las operaciones de la API. Puede aplicar esta política directamente o utilizarla como punto de partida para crear sus propias políticas. Para obtener más información sobre cada operación de la API mencionada en estas políticas, consulte [Acciones](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) en la *Referencia de la API AWS Batch *.
## AWSBatchFullAccess
Esta política permite el acceso total del administrador a AWS Batch.
Para ver el JSON de la política, consulte [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)la [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).