Contoh Kebijakan untuk AWS Data Pipeline - AWS Data Pipeline
Contoh 1: Memberikan pengguna akses hanya-baca berdasarkan tandaContoh 2: Memberikan pengguna akses penuh berdasarkan tandaContoh 3: Memberikan akses penuh untuk pemilik alurContoh 4: Memberikan akses pengguna ke konsol AWS Data Pipeline

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh Kebijakan untuk AWS Data Pipeline

Contoh berikut ini menunjukkan cara memberikan akses penuh atau terbatas pada pengguna ke alur.

Contoh 1: Memberikan pengguna akses hanya-baca berdasarkan tanda

Kebijakan berikut memungkinkan pengguna untuk menggunakan tindakan API AWS Data Pipeline hanya baca, tetapi hanya dengan alur yang memiliki tanda “environment=production”.

Tindakan ListPipelines API tidak mendukung otorisasi berbasis tanda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:Describe*",
        "datapipeline:GetPipelineDefinition",
        "datapipeline:ValidatePipelineDefinition",
        "datapipeline:QueryObjects"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "production"
        }
      }
    }
  ]
}

Contoh 2: Memberikan pengguna akses penuh berdasarkan tanda

Kebijakan berikut memungkinkan pengguna untuk menggunakan semua tindakanAWS Data Pipeline API, dengan pengecualian ListPipelines, tetapi hanya dengan alur yang memiliki tanda “environment=test”.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "test"
        }
      }
    }
  ]
}

Contoh 3: Memberikan akses penuh untuk pemilik alur

Kebijakan berikut memungkinkan pengguna untuk menggunakan semua tindakan API AWS Data Pipeline, tapi hanya dengan alur mereka sendiri.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:PipelineCreator": "${aws:userid}"
        }
      }
    }
  ]
}

Contoh 4: Memberikan akses pengguna ke konsol AWS Data Pipeline

Kebijakan berikut memungkinkan pengguna untuk membuat dan mengelola alur dengan menggunakan konsol AWS Data Pipeline.

Kebijakan ini mencakup tindakan untuk izin PassRole untuk sumber daya spesifik yang terkait dengan roleARN yang dibutuhkan AWS Data Pipeline. Untuk informasi lebih lanjut tentangPassRole izin berbasis identitas (IAM), lihat posting blog Pemberian izin untuk Meluncurkan Instans EC2 dengan IAM Role (PassRoleIzin).

{
	"Version": "2012-10-17",
	"Statement": [{
			"Action": [
				"cloudwatch:*",
				"datapipeline:*",
				"dynamodb:DescribeTable",
				"elasticmapreduce:AddJobFlowSteps",
				"elasticmapreduce:ListInstance*",
				"iam:AddRoleToInstanceProfile",
				"iam:CreateInstanceProfile",
				"iam:GetInstanceProfile",
				"iam:GetRole",
				"iam:GetRolePolicy",
				"iam:ListInstanceProfiles",
				"iam:ListInstanceProfilesForRole",
				"iam:ListRoles",
				"rds:DescribeDBInstances",
				"rds:DescribeDBSecurityGroups",
				"redshift:DescribeClusters",
				"redshift:DescribeClusterSecurityGroups",
				"s3:List*",
				"sns:ListTopics"
			],
			"Effect": "Allow",
			"Resource": [
				"*"
			]
		},
		{
			"Action": "iam:PassRole",
			"Effect": "Allow",
			"Resource": [
				"arn:aws:iam::*:role/DataPipelineDefaultResourceRole",
				"arn:aws:iam::*:role/DataPipelineDefaultRole"
			]
		}
	]
}