Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de stratégies pour AWS Data Pipeline
Les exemples suivants montrent comment accorder aux utilisateurs un accès complet ou limité aux pipelines.
Table des matières
- Exemple 1 : Accorder aux utilisateurs un accès en lecture seule en fonction d'une balise
- Exemple 2 : Accorder aux utilisateurs un accès complet en fonction d'une balise
- Exemple 3 : Accorder un accès complet au propriétaire du pipeline
- Exemple 4 : Accorder aux utilisateurs l'accès à la console AWS Data Pipeline
Exemple 1 : Accorder aux utilisateurs un accès en lecture seule en fonction d'une balise
La stratégie suivante permet aux utilisateurs d'utiliser les actions d'API AWS Data Pipeline en lecture seule, mais uniquement avec les pipelines qui ont la balise "environment=production".
L'action d' ListPipelines API ne prend pas en charge l'autorisation basée sur les balises.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datapipeline:Describe*", "datapipeline:GetPipelineDefinition", "datapipeline:ValidatePipelineDefinition", "datapipeline:QueryObjects" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "datapipeline:Tag/environment": "production" } } } ] }
Exemple 2 : Accorder aux utilisateurs un accès complet en fonction d'une balise
La politique suivante permet aux utilisateurs d'utiliser toutes les actions de l'AWS Data PipelineAPI, à l'exception ListPipelines, mais uniquement, des pipelines portant la balise « environment=test ».
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datapipeline:*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "datapipeline:Tag/environment": "test" } } } ] }
Exemple 3 : Accorder un accès complet au propriétaire du pipeline
La stratégie suivante permet aux utilisateurs d'utiliser toutes les actions d'API AWS Data Pipeline, mais uniquement avec leurs propres pipelines.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datapipeline:*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "datapipeline:PipelineCreator": "${aws:userid}" } } } ] }
Exemple 4 : Accorder aux utilisateurs l'accès à la console AWS Data Pipeline
La stratégie suivante permet aux utilisateurs de créer et de gérer un pipeline à l'aide de la console AWS Data Pipeline.
Cette stratégie inclut l'action pour les autorisations PassRole pour les ressources spécifiques liées au roleARN dont AWS Data Pipeline a besoin. Pour plus d'informations sur l'PassRoleautorisation basée sur l'identité (IAM), consultez le billet de blog Octroi de l'autorisation de lancer des instances EC2 avec des rôles IAM (PassRoleautorisation)
{ "Version": "2012-10-17", "Statement": [{ "Action": [ "cloudwatch:*", "datapipeline:*", "dynamodb:DescribeTable", "elasticmapreduce:AddJobFlowSteps", "elasticmapreduce:ListInstance*", "iam:AddRoleToInstanceProfile", "iam:CreateInstanceProfile", "iam:GetInstanceProfile", "iam:GetRole", "iam:GetRolePolicy", "iam:ListInstanceProfiles", "iam:ListInstanceProfilesForRole", "iam:ListRoles", "rds:DescribeDBInstances", "rds:DescribeDBSecurityGroups", "redshift:DescribeClusters", "redshift:DescribeClusterSecurityGroups", "s3:List*", "sns:ListTopics" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/DataPipelineDefaultResourceRole", "arn:aws:iam::*:role/DataPipelineDefaultRole" ] } ] }
