Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispielrichtlinien für AWS Data Pipeline
Die folgenden Beispiele zeigen, wie Sie Benutzern vollständigen oder eingeschränkten Zugriff auf Pipelines gewähren.
Inhalt
Beispiel 1: Gewähren des Lesezugriffs für Benutzer basierend auf einem Tag
Die folgende Richtlinie gestattet Benutzern die Verwendung von AWS Data Pipeline-API-Aktionen, die Lesezugriffe durchführen, allerdings nur bei Pipelines mit dem Tag "environment=production".
Die ListPipelines API-Aktion unterstützt keine Tag-basierte Autorisierung.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datapipeline:Describe*", "datapipeline:GetPipelineDefinition", "datapipeline:ValidatePipelineDefinition", "datapipeline:QueryObjects" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "datapipeline:Tag/environment": "production" } } } ] }
Beispiel 2: Gewähren des vollständigen Zugriffs für Benutzer basierend auf einem Tag
Die folgende Richtlinie ermöglicht es Benutzern, alleAWS Data Pipeline API-Aktionen zu verwenden, mit Ausnahme von ListPipelines, aber nur mit Pipelines, die das Tag „environment=test“ haben.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datapipeline:*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "datapipeline:Tag/environment": "test" } } } ] }
Beispiel 3: Gewähren des vollen Zugriffs für Pipeline-Eigentümer
Die folgende Richtlinie gestattet Benutzern die Verwendung aller AWS Data Pipeline-API-Aktionen, allerdings nur bei ihren eigenen Pipelines.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datapipeline:*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "datapipeline:PipelineCreator": "${aws:userid}" } } } ] }
Beispiel 4: Benutzern den Zugriff auf die AWS Data Pipeline-Konsole gewähren
Die folgende Richtlinie gestattet Benutzern, mit der AWS Data Pipeline-Konsole eine Pipeline zu erstellen und zu verwalten.
Die Richtlinie enthält die Aktion für PassRole-Berechtigungen für spezifische Ressourcen, die an den roleARN gebunden sind, den AWS Data Pipeline benötigt. Weitere Informationen zur identitätsbasierten (IAM)PassRole -Berechtigung finden Sie im Blogbeitrag Granting Permission to Launch EC2 Instances with IAM Roles (PassRolePermission)
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "cloudwatch:*", "datapipeline:*", "dynamodb:DescribeTable", "elasticmapreduce:AddJobFlowSteps", "elasticmapreduce:ListInstance*", "iam:AddRoleToInstanceProfile", "iam:CreateInstanceProfile", "iam:GetInstanceProfile", "iam:GetRole", "iam:GetRolePolicy", "iam:ListInstanceProfiles", "iam:ListInstanceProfilesForRole", "iam:ListRoles", "rds:DescribeDBInstances", "rds:DescribeDBSecurityGroups", "redshift:DescribeClusters", "redshift:DescribeClusterSecurityGroups", "s3:List*", "sns:ListTopics" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/DataPipelineDefaultResourceRole", "arn:aws:iam::*:role/DataPipelineDefaultRole" ] } ] }
