Kebijakan IAM berbasis identitas untuk HealthOmics

Untuk memberikan akses kepada pengguna di akun Anda HealthOmics, Anda menggunakan kebijakan berbasis identitas di AWS Identity and Access Management (IAM). Kebijakan berbasis identitas dapat diterapkan langsung ke pengguna IAM, atau ke grup dan peran IAM yang terkait dengan pengguna. Anda juga dapat memberikan izin kepada pengguna di akun lain untuk berperan dalam akun Anda dan mengakses HealthOmics sumber daya Anda.

Untuk memberikan izin bagi pengguna untuk melakukan tindakan pada versi alur kerja, Anda harus menambahkan alur kerja dan versi alur kerja tertentu ke daftar sumber daya.

Kebijakan IAM berikut memungkinkan pengguna untuk mengakses semua tindakan HealthOmics API, dan meneruskan peran layanan ke HealthOmics.

contoh Kebijakan pengguna

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "omics:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "omics.amazonaws.com"
        }
      }
    }
  ]
}

Saat Anda menggunakan HealthOmics, Anda juga berinteraksi dengan AWS layanan lain. Untuk mengakses layanan ini, gunakan kebijakan terkelola yang disediakan oleh setiap layanan. Untuk membatasi akses ke subset sumber daya, Anda dapat menggunakan kebijakan terkelola sebagai titik awal untuk membuat kebijakan Anda sendiri yang lebih ketat.

• AmazonS3 FullAccess — Akses ke ember Amazon S3 dan objek yang digunakan oleh pekerjaan.

• Amazon EC2 ContainerRegistryFullAccess - Akses ke registri Amazon ECR dan repositori untuk gambar wadah alur kerja.

• AWSLakeFormationDataAdmin— Akses ke database dan tabel Lake Formation yang dibuat oleh toko analitik.

• ResourceGroupsandTagEditorFullAccess— Tag HealthOmics sumber daya dengan HealthOmics menandai operasi API.

Kebijakan sebelumnya tidak mengizinkan pengguna untuk membuat peran IAM. Untuk pengguna dengan izin ini untuk menjalankan pekerjaan, administrator harus membuat peran layanan yang memberikan HealthOmics izin untuk mengakses sumber data. Untuk informasi selengkapnya, lihat Peran layanan untuk AWS HealthOmics.

Tentukan izin IAM kustom untuk menjalankan

Anda dapat menyertakan alur kerja, menjalankan, atau menjalankan grup apa pun yang direferensikan oleh StartRun permintaan dalam permintaan otorisasi. Untuk melakukannya, daftar kombinasi alur kerja, menjalankan, atau menjalankan grup yang diinginkan dalam kebijakan IAM. Misalnya, Anda dapat membatasi penggunaan alur kerja ke grup run atau run tertentu. Anda juga dapat menentukan bahwa alur kerja hanya digunakan dengan grup run.

Berikut ini adalah contoh kebijakan IAM yang memungkinkan alur kerja tunggal dengan grup run tunggal.

JSON

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:workflow/1234567",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:GetRun",
              "omics:ListRunTasks",
              "omics:GetRunTask",
              "omics:CancelRun",
              "omics:DeleteRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*"
          ]
      }     
  ]
}