Esempi di policy per AWS Data Pipeline - AWS Data Pipeline
Esempio 1: Concedere agli utenti accesso in sola lettura in base a un tagEsempio 2: Concedere agli utenti l'accesso completo in base a un tagEsempio 3: Concedere al proprietario della pipeline l'accesso completoEsempio 4: concedere agli utenti l'accesso alla console AWS Data Pipeline

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy per AWS Data Pipeline

I seguenti esempi illustrano come concedere agli utenti accesso completo o limitato alle pipeline.

Esempio 1: Concedere agli utenti accesso in sola lettura in base a un tag

La policy seguente consente agli utenti di usare le operazioni dell'API AWS Data Pipeline di sola lettura, ma solo con le pipeline che hanno il tag "environment=production".

L'operazione ListPipelines API non supporta entrambi l'autorizzazione basata su tag.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:Describe*",
        "datapipeline:GetPipelineDefinition",
        "datapipeline:ValidatePipelineDefinition",
        "datapipeline:QueryObjects"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "production"
        }
      }
    }
  ]
}

Esempio 2: Concedere agli utenti l'accesso completo in base a un tag

La seguente politica consente agli utenti di utilizzare tutte le azioniAWS Data Pipeline API, ad eccezione ListPipelines, ma solo, delle pipeline che hanno il tag «environment=test».

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "test"
        }
      }
    }
  ]
}

Esempio 3: Concedere al proprietario della pipeline l'accesso completo

La policy seguente consente agli utenti di usare tutte le operazioni dell'API AWS Data Pipeline, ma solo con le proprie pipeline.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:PipelineCreator": "${aws:userid}"
        }
      }
    }
  ]
}

Esempio 4: concedere agli utenti l'accesso alla console AWS Data Pipeline

La policy seguente consente agli utenti di creare e gestire una pipeline utilizzando la console AWS Data Pipeline.

Questa policy include l'operazione per le autorizzazioni PassRole per le risorse specifiche vincolate al roleARN che AWS Data Pipeline richiede. Per ulteriori informazioni sull'PassRoleautorizzazione basata sull'identità (IAM), consulta il post del blog Concedere l'autorizzazione al lancio di istanze EC2 con ruoli IAM (PassRoleautorizzazione).

{
	"Version": "2012-10-17",
	"Statement": [{
			"Action": [
				"cloudwatch:*",
				"datapipeline:*",
				"dynamodb:DescribeTable",
				"elasticmapreduce:AddJobFlowSteps",
				"elasticmapreduce:ListInstance*",
				"iam:AddRoleToInstanceProfile",
				"iam:CreateInstanceProfile",
				"iam:GetInstanceProfile",
				"iam:GetRole",
				"iam:GetRolePolicy",
				"iam:ListInstanceProfiles",
				"iam:ListInstanceProfilesForRole",
				"iam:ListRoles",
				"rds:DescribeDBInstances",
				"rds:DescribeDBSecurityGroups",
				"redshift:DescribeClusters",
				"redshift:DescribeClusterSecurityGroups",
				"s3:List*",
				"sns:ListTopics"
			],
			"Effect": "Allow",
			"Resource": [
				"*"
			]
		},
		{
			"Action": "iam:PassRole",
			"Effect": "Allow",
			"Resource": [
				"arn:aws:iam::*:role/DataPipelineDefaultResourceRole",
				"arn:aws:iam::*:role/DataPipelineDefaultRole"
			]
		}
	]
}