Verwaltung von IAM-Rollen über die Amazon Data Firehose-Konsole - Amazon Data Firehose
Wählen Sie eine bestehende IAM-RolleErstellen Sie eine neue IAM-Rolle von der Konsole ausBearbeiten Sie die IAM-Rolle von der Konsole aus

Amazon Data Firehose war zuvor als Amazon Kinesis Data Firehose bekannt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von IAM-Rollen über die Amazon Data Firehose-Konsole

Amazon Data Firehose ist ein vollständig verwalteter Service, der Streaming-Daten in Echtzeit an Ziele liefert. Sie können Firehose auch so konfigurieren, dass das Format Ihrer Daten vor der Auslieferung transformiert und konvertiert wird. Um diese Funktionen nutzen zu können, müssen Sie zunächst IAM-Rollen bereitstellen, um Firehose beim Erstellen oder Bearbeiten eines Firehose-Streams Berechtigungen zu gewähren. Firehose verwendet diese IAM-Rolle für alle Berechtigungen, die der Firehose-Stream benötigt.

Stellen Sie sich zum Beispiel ein Szenario vor, in dem Sie einen Firehose erstellen, der Daten an Amazon S3 liefert, und für diesen Firehose-Stream Transform-Quelldatensätze mit aktivierter AWS Lambda Funktion vorhanden sind. In diesem Fall müssen Sie IAM-Rollen bereitstellen, um Firehose Berechtigungen für den Zugriff auf den S3-Bucket und das Aufrufen der Lambda-Funktion zu gewähren, wie im Folgenden gezeigt.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "lambdaProcessing",
        "Effect": "Allow",
        "Action": ["lambda:InvokeFunction", "lambda:GetFunctionConfiguration"],
        "Resource": "arn:aws:lambda:us-east-1:<account id>:function:<lambda function name>:<lambda function version>"
    }, {
        "Sid": "s3Permissions",
        "Effect": "Allow",
        "Action": ["s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject"],
        "Resource": ["arn:aws:s3:::<bucket name>", "arn:aws:s3:::<bucket name>/*"]
    }]
}

Mit Firehose Firehose-Konsole können Sie wählen, wie Sie diese Rollen bereitstellen möchten. Sie können aus einer der folgenden Optionen wählen.

Wählen Sie eine bestehende IAM-Rolle

Sie können aus einer vorhandenen IAM-Rolle wählen. Stellen Sie bei dieser Option sicher, dass die von Ihnen gewählte IAM-Rolle über die richtige Vertrauensrichtlinie und die für Ihre Quelle und Ihr Ziel erforderlichen Berechtigungen verfügt. Weitere Informationen finden Sie unter Zugriffskontrolle mit Amazon Data Firehose.

Erstellen Sie eine neue IAM-Rolle von der Konsole aus

Alternativ können Sie auch die Firehose-Konsole verwenden, um in Ihrem Namen eine neue Rolle zu erstellen.

Wenn Firehose in Ihrem Namen eine IAM-Rolle erstellt, enthält die Rolle automatisch alle Berechtigungs- und Vertrauensrichtlinien, die die erforderlichen Berechtigungen auf der Grundlage der Firehose-Stream-Konfiguration gewähren.

Wenn Sie beispielsweise die AWS Lambda Funktion Quelldatensätze mit transformieren nicht aktiviert haben, generiert die Konsole die folgende Anweisung in der Berechtigungsrichtlinie.

{
  "Sid": "lambdaProcessing",
  "Effect": "Allow",
   "Action": [
     "lambda:InvokeFunction",
     "lambda:GetFunctionConfiguration"
   ],
   "Resource": "arn:aws:lambda:us-east-1:<account id>:function:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
}
Anmerkung

Es ist unbedenklich, die folgenden Richtlinienerklärungen zu ignorieren, %FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER% da sie keine Berechtigungen für Ressourcen gewähren.

Die Konsole zum Erstellen und Bearbeiten von Firehose-Stream-Workflows erstellt auch eine Vertrauensrichtlinie und fügt sie der IAM-Rolle hinzu. Die Vertrauensrichtlinie ermöglicht es Firehose, die IAM-Rolle zu übernehmen. Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "firehoseAssume",
        "Effect": "Allow",
        "Principal": {
            "Service": "firehose.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
Wichtig

  • Sie sollten vermeiden, dieselbe von der Konsole verwaltete IAM-Rolle für mehrere Firehose-Streams zu verwenden. Andernfalls könnte die IAM-Rolle zu freizügig werden oder zu Fehlern führen.

  • Um in einer Berechtigungsrichtlinie andere Richtlinienaussagen als in einer über die Konsole verwalteten IAM-Rolle zu verwenden, können Sie Ihre eigene IAM-Rolle erstellen und die Richtlinienanweisungen in eine Berechtigungsrichtlinie kopieren, die der neuen Rolle zugeordnet ist. Um die Rolle an den Firehose-Stream anzuhängen, wählen Sie im Dienstzugriff die Option Bestehende IAM-Rolle auswählen aus.

  • Die Konsole verwaltet alle IAM-Rollen, deren ARN die Zeichenfolge service-role enthält. Wenn Sie die vorhandene IAM-Rollenoption wählen, stellen Sie sicher, dass Sie eine IAM-Rolle ohne die Zeichenfolge service-role in ihrem ARN auswählen, damit die Konsole keine Änderungen daran vornimmt.

  1. Öffnen Sie die Firehose-Konsole unter https://console.aws.amazon.com/firehose/.

  2. Wählen Sie Create Firehose stream.

  3. Wählen Sie eine Quelle und ein Ziel aus. Weitere Informationen finden Sie unter Erstellen Sie einen Firehose-Stream.

  4. Wählen Sie die Zieleinstellungen. Weitere Informationen finden Sie unter Zieleinstellungen konfigurieren.

  5. Wählen Sie unter Erweiterte Einstellungen für Dienstzugriff die Option IAM-Rolle erstellen oder aktualisieren aus.

    Anmerkung

    Dies ist eine Standardoption. Um eine bestehende Rolle zu verwenden, wählen Sie die Option Bestehende IAM-Rolle auswählen. Die Firehose-Konsole nimmt keine Änderungen an Ihrer eigenen Rolle vor.

  6. Wählen Sie Create Firehose stream.

Bearbeiten Sie die IAM-Rolle von der Konsole aus

Wenn Sie einen Firehose-Stream bearbeiten, aktualisiert Firehose die entsprechende Berechtigungsrichtlinie entsprechend, um die Änderungen an der Konfiguration und den Berechtigungen widerzuspiegeln.

Wenn Sie beispielsweise den Firehose-Stream bearbeiten und die AWS Lambda Funktion „Quelldatensätze mit der neuesten Version der Lambda-Funktion transformieren“ aktivierenexampleLambdaFunction, erhalten Sie die folgende Richtlinienanweisung in der Berechtigungsrichtlinie.

{
  "Sid": "lambdaProcessing",
  "Effect": "Allow",
  "Action": [
    "lambda:InvokeFunction",
    "lambda:GetFunctionConfiguration"
  ],
  "Resource": "arn:aws:lambda:us-east-1:<account id>:function:exampleLambdaFunction:$LATEST"
}
Wichtig

Eine von der Konsole verwaltete IAM-Rolle ist so konzipiert, dass sie autonom ist. Es wird nicht empfohlen, die Berechtigungsrichtlinie oder die Vertrauensrichtlinie außerhalb der Konsole zu ändern.

  1. Öffnen Sie die Firehose-Konsole unter https://console.aws.amazon.com/firehose/.

  2. Wählen Sie Firehose-Streams und wählen Sie den Namen eines Firehose-Streams, den Sie aktualisieren möchten.

  3. Wählen Sie auf der Registerkarte Konfiguration im Abschnitt Serverzugriff die Option Bearbeiten aus.

  4. Aktualisieren Sie die IAM-Rollenoption.

    Anmerkung

    Standardmäßig aktualisiert die Konsole eine IAM-Rolle immer mit dem Pattern Service-Role in ihrem ARN. Wenn Sie die vorhandene IAM-Rollenoption wählen, stellen Sie sicher, dass Sie eine IAM-Rolle ohne die Zeichenfolge service-role in ihrem ARN auswählen, damit die Konsole keine Änderungen daran vornimmt.

  5. Wählen Sie Änderungen speichern aus.