Gestione las funciones de IAM a través de la consola Amazon Data Firehose - Amazon Data Firehose
Elija un rol de IAM existenteCree un nuevo rol de IAM desde la consolaEdita el rol de IAM desde la consola

Amazon Data Firehose se conocía anteriormente como Amazon Kinesis Data Firehose

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestione las funciones de IAM a través de la consola Amazon Data Firehose

Amazon Data Firehose es un servicio totalmente gestionado que ofrece datos de streaming en tiempo real a los destinos. También puedes configurar Firehose para transformar y convertir el formato de tus datos antes de entregarlos. Para usar estas funciones, primero debes proporcionar funciones de IAM para conceder permisos a Firehose cuando crees o edites una transmisión de Firehose. Firehose usa esta función de IAM para todos los permisos que necesita la transmisión de Firehose.

Por ejemplo, considere un escenario en el que crea una transmisión de Firehose que entrega datos a Amazon S3 y esta transmisión de Firehose tiene los registros de origen de Transform con la función habilitada. AWS Lambda En este caso, debes proporcionar funciones de IAM para conceder a Firehose permisos de acceso al bucket de S3 e invocar la función Lambda, como se muestra a continuación.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "lambdaProcessing",
        "Effect": "Allow",
        "Action": ["lambda:InvokeFunction", "lambda:GetFunctionConfiguration"],
        "Resource": "arn:aws:lambda:us-east-1:<account id>:function:<lambda function name>:<lambda function version>"
    }, {
        "Sid": "s3Permissions",
        "Effect": "Allow",
        "Action": ["s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject"],
        "Resource": ["arn:aws:s3:::<bucket name>", "arn:aws:s3:::<bucket name>/*"]
    }]
}

La consola Firehose te permite elegir cómo quieres proporcionar estas funciones. Puedes elegir una de las siguientes opciones.

Elija un rol de IAM existente

Puede elegir uno de los roles de IAM existentes. Con esta opción, asegúrese de que el rol de IAM que elija tenga una política de confianza adecuada y los permisos necesarios para su origen y destino. Para obtener más información, consulte Control del acceso con Amazon Data Firehose.

Cree un nuevo rol de IAM desde la consola

Como alternativa, también puedes usar la consola Firehose para crear un nuevo rol en tu nombre.

Cuando Firehose crea un rol de IAM en su nombre, el rol incluye automáticamente todas las políticas de permisos y confianza que otorgan los permisos necesarios en función de la configuración de transmisión de Firehose.

Por ejemplo, si no habilitaste la función Transformar los registros fuente con la AWS Lambda función, la consola generará la siguiente declaración en la política de permisos.

{
  "Sid": "lambdaProcessing",
  "Effect": "Allow",
   "Action": [
     "lambda:InvokeFunction",
     "lambda:GetFunctionConfiguration"
   ],
   "Resource": "arn:aws:lambda:us-east-1:<account id>:function:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
}
nota

Es seguro ignorar las declaraciones de política que contienen%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%, ya que no otorgan permisos sobre ningún recurso.

La consola crea y edita los flujos de trabajo de Firehose Stream también crea una política de confianza y la adjunta a la función de IAM. La política de confianza permite a Firehose asumir la función de IAM. A continuación se muestra un ejemplo de política de confianza.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "firehoseAssume",
        "Effect": "Allow",
        "Principal": {
            "Service": "firehose.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
importante

  • Deberías evitar usar la misma función de IAM administrada desde la consola para múltiples transmisiones de Firehose. De lo contrario, la función de IAM podría volverse demasiado permisiva o provocar errores.

  • Para utilizar diferentes declaraciones de política dentro de una política de permisos de una función de IAM gestionada desde una consola, puede crear su propia función de IAM y copiar las declaraciones de política en una política de permisos adjunta a la nueva función. Para adjuntar el rol a la transmisión de Firehose, seleccione la opción Elegir el rol de IAM existente en el acceso al servicio.

  • La consola administra cualquier función de IAM que contenga la cadena service-role en su ARN. Al elegir la opción de rol de IAM existente, asegúrese de seleccionar un rol de IAM sin la cadena de rol de servicio en su ARN para que la consola no realice ningún cambio en él.

  1. Abre la consola Firehose en https://console.aws.amazon.com/firehose/.

  2. Selecciona Crear transmisión de Firehose.

  3. Elige un origen y un destino. Para obtener más información, consulte Crea una transmisión de Firehose.

  4. Elija la configuración de destino. Para obtener más información, consulte Configurar los ajustes de destino.

  5. En Configuración avanzada, para Acceso al servicio, selecciona Crear o actualizar el rol de IAM.

    nota

    Se trata de una opción predeterminada. Para usar un rol existente, seleccione la opción Elegir un rol de IAM existente. La consola Firehose no modificará tu rol.

  6. Selecciona Crear transmisión de Firehose.

Edita el rol de IAM desde la consola

Al editar una transmisión de Firehose, Firehose actualiza la política de permisos correspondiente en consecuencia para reflejar los cambios de configuración y permisos.

Por ejemplo, si editas la transmisión de Firehose y habilitas la AWS Lambda función Transformar registros fuente con la última versión de la función Lambda asexampleLambdaFunction, obtienes la siguiente declaración de política en la política de permisos.

{
  "Sid": "lambdaProcessing",
  "Effect": "Allow",
  "Action": [
    "lambda:InvokeFunction",
    "lambda:GetFunctionConfiguration"
  ],
  "Resource": "arn:aws:lambda:us-east-1:<account id>:function:exampleLambdaFunction:$LATEST"
}
importante

Un rol de IAM administrado desde una consola está diseñado para ser autónomo. No se recomienda modificar la política de permisos o la política de confianza fuera de la consola.

  1. Abre la consola Firehose en https://console.aws.amazon.com/firehose/.

  2. Elige las transmisiones de Firehose y elige el nombre de la transmisión de Firehose que quieras actualizar.

  3. En la pestaña Configuración, en la sección Acceso al servidor, selecciona Editar.

  4. Actualice la opción de rol de IAM.

    nota

    De forma predeterminada, la consola siempre actualiza un rol de IAM con el patrón service-role en su ARN. Al elegir la opción de rol de IAM existente, asegúrese de seleccionar un rol de IAM sin la cadena de rol de servicio en su ARN para que la consola no realice ningún cambio en él.

  5. Elija Guardar cambios.