Permisos de Amazon ECR Permisos de Lake Formation

Permisos de recursos

AWS HealthOmics crea recursos en otros servicios y accede a ellos en tu nombre cuando ejecutas un trabajo o creas una tienda. En algunos casos, es necesario configurar los permisos en otros servicios para acceder a los recursos o permitir el acceso HealthOmics a ellos.

Permisos de Amazon ECR

Antes de que el HealthOmics servicio pueda ejecutar un flujo de trabajo en un contenedor desde tu repositorio privado de Amazon ECR, debes crear una política de recursos para el contenedor. La política otorga permiso al HealthOmics servicio para usar el contenedor. Agrega esta política de recursos a cada repositorio privado al que haga referencia el flujo de trabajo.

nota

El repositorio privado y el flujo de trabajo deben estar en la misma región.

En las siguientes secciones se describen las configuraciones de políticas necesarias.

Temas

Cree una política de recursos para el repositorio de Amazon ECR
Ejecutar flujos de trabajo con contenedores multicuenta
Políticas de repositorio de Amazon ECR para flujos de trabajo compartidos

Cree una política de recursos para el repositorio de Amazon ECR

Cree una política de recursos que permita al HealthOmics servicio ejecutar un flujo de trabajo utilizando un contenedor del repositorio. La política concede permiso al director del HealthOmics servicio para acceder a las acciones de Amazon ECR requeridas.

Siga estos pasos para crear la política:

Abra la página de repositorios privados en la consola de Amazon ECR y seleccione el repositorio al que va a conceder acceso.
En la barra de navegación lateral, seleccione Permisos.
Selecciona Editar JSON.
Elija Add Statement (Añadir instrucción).

Añada la siguiente declaración de política y, a continuación, seleccione Guardar política.

Ejecutar flujos de trabajo con contenedores multicuenta

Si el flujo de trabajo y el contenedor son propiedad de diferentes AWS cuentas, debes configurar los siguientes permisos entre cuentas:

Actualice la política de Amazon ECR del repositorio para conceder permiso de forma explícita a la cuenta propietaria del flujo de trabajo.
Actualice la función de servicio de la cuenta propietaria del flujo de trabajo para concederle acceso a la imagen del contenedor.

El siguiente ejemplo muestra una política de recursos de Amazon ECR que concede acceso a la cuenta propietaria del flujo de trabajo.

En este ejemplo:

ID de cuenta de flujo de trabajo: 111122223333
ID de cuenta del repositorio de contenedores: 444455556666
Nombre del contenedor: samtools

Para completar la configuración, agrega la siguiente declaración de política al rol de servicio de la cuenta propietaria del flujo de trabajo. La política concede permiso al rol de servicio para acceder a la imagen del contenedor «samtools». Asegúrese de reemplazar los números de cuenta, el nombre del contenedor y la región por sus propios valores.


{
    "Sid": "CrossAccountEcrRepoPolicy",
    "Effect": "Allow",
    "Action": ["ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer"],
    "Resource": "arn:aws:ecr:us-west-2:444455556666:repository/samtools"
}

Políticas de repositorio de Amazon ECR para flujos de trabajo compartidos

nota

HealthOmics permite automáticamente que un flujo de trabajo compartido acceda al repositorio de Amazon ECR en la cuenta del propietario del flujo de trabajo, mientras el flujo de trabajo se ejecuta en la cuenta del suscriptor. No es necesario que concedas acceso adicional al repositorio para los flujos de trabajo compartidos. Para obtener más información, consulta Cómo compartir HealthOmics flujos de trabajo.

De forma predeterminada, el suscriptor no tiene acceso al repositorio de Amazon ECR para usar los contenedores subyacentes. Si lo desea, puede personalizar el acceso al repositorio de Amazon ECR añadiendo claves de condición a la política de recursos del repositorio. En las siguientes secciones se proporcionan ejemplos de políticas.

Restrinja el acceso a flujos de trabajo específicos

Puede enumerar los flujos de trabajo individuales en una declaración de condición, de modo que solo estos flujos de trabajo puedan utilizar los contenedores del repositorio. La clave de SourceArncondición especifica el ARN del flujo de trabajo compartido. En el siguiente ejemplo, se concede permiso al flujo de trabajo especificado para utilizar este repositorio.

Restrinja el acceso a cuentas específicas

Puede enumerar las cuentas de los suscriptores en una declaración de condiciones, de modo que solo estas cuentas tengan permiso para usar los contenedores del repositorio. La clave de SourceAccountcondición especifica la Cuenta de AWS del suscriptor. En el siguiente ejemplo, se concede permiso a la cuenta especificada para utilizar este repositorio.

También puede denegar los permisos de Amazon ECR a suscriptores específicos, como se muestra en el siguiente ejemplo de política.

Permisos de Lake Formation

Antes de utilizar las funciones de análisis HealthOmics, configure los ajustes predeterminados de la base de datos en Lake Formation.

Para configurar los permisos de recursos en Lake Formation

Abra la página de configuración del catálogo de datos en la consola de Lake Formation.
Desactive los requisitos de control de acceso de IAM para bases de datos y tablas en Permisos predeterminados para bases de datos y tablas recién creadas.
Seleccione Save.

HealthOmics Analytics acepta datos automáticamente si su política de servicio tiene los permisos de RAM correctos, como en el siguiente ejemplo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Roles de servicio

Permisos de URI de Amazon S3