Amazon Managed Service untuk Apache Flink sebelumnya dikenal sebagai Amazon Kinesis Data Analytics untuk Apache Flink.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat IAM kebijakan khusus untuk Managed Service untuk notebook Apache Flink Studio
Anda biasanya menggunakan IAM kebijakan terkelola untuk mengizinkan aplikasi mengakses sumber daya yang bergantung. Jika Anda memerlukan kontrol yang lebih baik atas izin aplikasi Anda, Anda dapat menggunakan kebijakan khususIAM. Bagian ini berisi contoh IAM kebijakan khusus.
catatan
Dalam contoh kebijakan berikut, ganti teks placeholder dengan nilai-nilai aplikasi Anda.
Topik ini berisi bagian-bagian berikut:
AWS Glue
Contoh kebijakan berikut memberikan izin untuk mengakses database. AWS Glue
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GlueTable", "Effect": "Allow", "Action": [ "glue:GetConnection", "glue:GetTable", "glue:GetTables", "glue:GetDatabase", "glue:CreateTable", "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:
<region>:<accountId>
:connection/*", "arn:aws:glue:<region>:<accountId>
:table/<database-name>
/*", "arn:aws:glue:<region>:<accountId>
:database/<database-name>
", "arn:aws:glue:<region>:<accountId>
:database/hive", "arn:aws:glue:<region>:<accountId>
:catalog" ] }, { "Sid": "GlueDatabase", "Effect": "Allow", "Action": "glue:GetDatabases", "Resource": "*" } ] }
CloudWatch Log
Kebijakan berikut memberikan izin untuk mengakses CloudWatch Log:
{ "Sid": "ListCloudwatchLogGroups", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:
<region>
:<accountId>
:log-group:*" ] }, { "Sid": "ListCloudwatchLogStreams", "Effect": "Allow", "Action": [ "logs:DescribeLogStreams" ], "Resource": [ "<logGroupArn>
:log-stream:*" ] }, { "Sid": "PutCloudwatchLogs", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "<logStreamArn>
" ] }
catatan
Jika Anda membuat aplikasi menggunakan konsol, konsol akan menambahkan kebijakan yang diperlukan untuk mengakses CloudWatch Log ke peran aplikasi Anda.
Aliran Kinesis
Aplikasi Anda dapat menggunakan Aliran Kinesis untuk sumber atau tujuan. Aplikasi Anda memerlukan izin baca untuk membaca dari aliran sumber, dan izin tulis untuk menulis ke aliran tujuan.
Kebijakan berikut memberikan izin untuk membaca dari Aliran Kinesis yang digunakan sebagai sumber:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisShardDiscovery", "Effect": "Allow", "Action": "kinesis:ListShards", "Resource": "*" }, { "Sid": "KinesisShardConsumption", "Effect": "Allow", "Action": [ "kinesis:GetShardIterator", "kinesis:GetRecords", "kinesis:DescribeStream", "kinesis:DescribeStreamSummary", "kinesis:RegisterStreamConsumer", "kinesis:DeregisterStreamConsumer" ], "Resource": "arn:aws:kinesis:
<region>:<accountId>
:stream/<stream-name>
" }, { "Sid": "KinesisEfoConsumer", "Effect": "Allow", "Action": [ "kinesis:DescribeStreamConsumer", "kinesis:SubscribeToShard" ], "Resource": "arn:aws:kinesis:<region>
:<account>
:stream/<stream-name>
/consumer/*" } ] }
Kebijakan berikut memberikan izin untuk menulis ke Aliran Kinesis yang digunakan sebagai tujuan:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "KinesisStreamSink", "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords", "kinesis:DescribeStreamSummary", "kinesis:DescribeStream" ], "Resource": "arn:aws:kinesis:
<region>
:<accountId>
:stream/<stream-name>
" } ] }
Jika aplikasi Anda mengakses aliran Kinesis terenkripsi, Anda harus memberikan izin tambahan untuk mengakses aliran dan kunci enkripsi aliran.
Kebijakan berikut memberikan izin untuk mengakses aliran sumber terenkripsi dan kunci enkripsi aliran:
{ "Sid": "ReadEncryptedKinesisStreamSource", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "
<inputStreamKeyArn>
" ] } ,
Kebijakan berikut memberikan izin untuk mengakses aliran tujuan terenkripsi dan kunci enkripsi aliran:
{ "Sid": "WriteEncryptedKinesisStreamSink", "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": [ "
<outputStreamKeyArn>
" ] }
MSKCluster Amazon
Untuk memberikan akses ke MSK klaster Amazon, Anda memberikan akses ke klasterVPC. Untuk contoh kebijakan untuk mengakses AmazonVPC, lihat Izin VPC Aplikasi.