Amazon Data Firehose sebelumnya dikenal sebagai Amazon Kinesis Data Firehose
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kelola peran IAM melalui konsol Amazon Data Firehose
Amazon Data Firehose adalah layanan yang dikelola sepenuhnya yang memberikan data streaming waktu nyata ke tujuan. Anda juga dapat mengonfigurasi Firehose untuk mengubah dan mengonversi format data Anda sebelum pengiriman. Untuk menggunakan fitur ini, Anda harus terlebih dahulu memberikan peran IAM untuk memberikan izin ke Firehose saat membuat atau mengedit aliran Firehose. Firehose menggunakan peran IAM ini untuk semua izin yang dibutuhkan aliran Firehose.
Misalnya, pertimbangkan skenario di mana Anda membuat aliran Firehose yang mengirimkan data ke Amazon S3, dan aliran Firehose ini memiliki Transform source record dengan fitur yang diaktifkan. AWS Lambda Dalam hal ini, Anda harus memberikan peran IAM untuk memberikan izin Firehose untuk mengakses bucket S3 dan menjalankan fungsi Lambda, seperti yang ditunjukkan di bawah ini.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "lambdaProcessing", "Effect": "Allow", "Action": ["lambda:InvokeFunction", "lambda:GetFunctionConfiguration"], "Resource": "arn:aws:lambda:us-east-1:<account id>:function:<lambda function name>:<lambda function version>" }, { "Sid": "s3Permissions", "Effect": "Allow", "Action": ["s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject"], "Resource": ["arn:aws:s3:::<bucket name>", "arn:aws:s3:::<bucket name>/*"] }] }
Firehose console memungkinkan Anda untuk memilih bagaimana Anda ingin memberikan peran ini. Anda dapat memilih dari salah satu opsi berikut.
Pilih peran IAM yang ada
Anda dapat memilih dari peran IAM yang ada. Dengan opsi ini, pastikan bahwa peran IAM yang Anda pilih memiliki kebijakan kepercayaan yang tepat dan izin yang diperlukan untuk sumber dan tujuan Anda. Untuk informasi selengkapnya, lihat Mengontrol Akses dengan Amazon Data Firehose.
Buat peran IAM baru dari konsol
Atau, Anda juga dapat menggunakan konsol Firehose untuk membuat peran baru atas nama Anda.
Saat Firehose membuat peran IAM atas nama Anda, peran tersebut secara otomatis menyertakan semua kebijakan izin dan kepercayaan yang memberikan izin yang diperlukan berdasarkan konfigurasi aliran Firehose.
Misalnya, jika Anda tidak mengaktifkan data sumber Transform dengan AWS Lambda fitur, konsol akan menghasilkan pernyataan berikut dalam kebijakan izin.
{ "Sid": "lambdaProcessing", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:us-east-1:<account id>:function:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%" }
catatan
Aman untuk mengabaikan pernyataan kebijakan yang berisi %FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER% karena tidak memberikan izin pada sumber daya apa pun.
Konsol yang membuat dan mengedit alur kerja aliran Firehose juga membuat kebijakan kepercayaan dan melampirkannya ke peran IAM. Kebijakan kepercayaan memungkinkan Firehose untuk mengambil peran IAM. Berikut ini adalah contoh kebijakan kepercayaan.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "firehoseAssume", "Effect": "Allow", "Principal": { "Service": "firehose.amazonaws.com" }, "Action": "sts:AssumeRole" }] }
penting
-
Anda harus menghindari penggunaan peran IAM yang dikelola konsol yang sama untuk beberapa aliran Firehose. Jika tidak, peran IAM bisa menjadi terlalu permisif atau mengakibatkan kesalahan.
-
Untuk menggunakan pernyataan kebijakan yang berbeda dalam kebijakan izin dari peran IAM yang dikelola konsol, Anda dapat membuat peran IAM Anda sendiri, dan menyalin pernyataan kebijakan ke kebijakan izin yang dilampirkan ke peran baru. Untuk melampirkan peran ke aliran Firehose, pilih opsi Pilih peran IAM yang ada di akses Layanan.
-
Console mengelola peran IAM apa pun yang berisi peran layanan string di ARN-nya. Saat Anda memilih opsi peran IAM yang ada, pastikan untuk memilih peran IAM tanpa string peran layanan di ARN-nya sehingga konsol tidak membuat perubahan apa pun padanya.
-
Buka konsol Firehose di https://console.aws.amazon.com/firehose/.
-
Pilih Buat aliran Firehose.
Pilih sumber dan tujuan. Untuk informasi selengkapnya, lihat Buat aliran Firehose.
Pilih pengaturan tujuan. Untuk informasi selengkapnya, lihat Konfigurasikan pengaturan tujuan.
Di bawah Pengaturan lanjutan, untuk akses Layanan, pilih Buat atau perbarui peran IAM.
catatan
Ini adalah opsi default. Untuk menggunakan peran yang ada, pilih opsi Pilih peran IAM yang ada. Firehose console tidak akan membuat perubahan apa pun pada peran Anda sendiri.
Pilih Buat aliran Firehose.
Edit peran IAM dari konsol
Saat Anda mengedit aliran Firehose, Firehose memperbarui kebijakan izin yang sesuai untuk mencerminkan perubahan konfigurasi dan izin.
Misalnya, saat Anda mengedit aliran Firehose dan mengaktifkan Transform data sumber dengan AWS Lambda fitur menggunakan fungsi Lambda versi terbaruexampleLambdaFunction, Anda mendapatkan pernyataan kebijakan berikut dalam kebijakan izin.
{ "Sid": "lambdaProcessing", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:us-east-1:<account id>:function:exampleLambdaFunction:$LATEST" }
penting
Peran IAM yang dikelola konsol dirancang untuk menjadi otonom. Kami tidak menyarankan Anda mengubah kebijakan izin atau kebijakan kepercayaan di luar konsol.
-
Buka konsol Firehose di https://console.aws.amazon.com/firehose/.
-
Pilih aliran Firehose dan pilih nama aliran Firehose yang ingin Anda perbarui.
Pada tab Konfigurasi, di bagian Akses server, pilih Edit.
-
Perbarui opsi peran IAM.
catatan
Secara default, konsol selalu memperbarui peran IAM dengan peran layanan pola di ARN-nya. Saat Anda memilih opsi peran IAM yang ada, pastikan untuk memilih peran IAM tanpa string peran layanan di ARN-nya sehingga konsol tidak membuat perubahan apa pun padanya.
Pilih Simpan perubahan.
