Politiche IAM basate sull'identità per HealthOmics

Per concedere l'accesso agli utenti del tuo account HealthOmics, utilizzi le politiche basate sull'identità in AWS Identity and Access Management (IAM). Le policy basate sull'identità possono essere applicate direttamente agli utenti IAM o ai gruppi e ruoli IAM associati a un utente. È inoltre possibile concedere le autorizzazioni a utenti in un altro account in modo che assumano un ruolo nel proprio account ed eseguano l'accesso alle risorse HealthOmics.

Per concedere agli utenti l'autorizzazione a eseguire azioni su una versione del flusso di lavoro, è necessario aggiungere il flusso di lavoro e la versione specifica del flusso di lavoro all'elenco delle risorse.

La seguente policy IAM consente a un utente di accedere a tutte le azioni HealthOmics API e di passare i ruoli di servizio a HealthOmics.

Esempio Policy utente

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "omics:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "omics.amazonaws.com"
        }
      }
    }
  ]
}

Quando lo utilizzi HealthOmics, interagisci anche con altri AWS servizi. Per accedere a questi servizi, utilizza le politiche gestite fornite da ciascun servizio. Per limitare l'accesso a un sottoinsieme di risorse, puoi utilizzare le policy gestite come punto di partenza per creare politiche personalizzate più restrittive.

• AmazonS3 FullAccess: accesso ai bucket e agli oggetti Amazon S3 utilizzati dai lavori.

• Amazon EC2 ContainerRegistryFullAccess: accesso ai registri e agli archivi Amazon ECR per le immagini dei container del flusso di lavoro.

• AWSLakeFormationDataAdmin— Accesso ai database e alle tabelle di Lake Formation creati dagli archivi di analisi.

• ResourceGroupsandTagEditorFullAccess— Tagga HealthOmics le risorse con operazioni API HealthOmics di tagging.

Le politiche precedenti non consentono a un utente di creare ruoli IAM. Affinché un utente con queste autorizzazioni possa eseguire un job, un amministratore deve creare il ruolo di servizio che concede l' HealthOmics autorizzazione ad accedere alle fonti di dati. Per ulteriori informazioni, consulta Ruoli di servizio per AWS HealthOmics.

Definisci le autorizzazioni IAM personalizzate per le esecuzioni

Puoi includere qualsiasi flusso di lavoro, esecuzione o gruppo di esecuzione a cui fa riferimento la StartRun richiesta in una richiesta di autorizzazione. A tale scopo, elenca la combinazione desiderata di flussi di lavoro, esecuzioni o gruppi di esecuzione nella policy IAM. Ad esempio, puoi limitare l'uso di un flusso di lavoro a una specifica esecuzione o gruppo di esecuzioni. È inoltre possibile specificare che un flusso di lavoro venga utilizzato solo con un gruppo di esecuzione.

Di seguito è riportato un esempio di policy IAM che consente un singolo flusso di lavoro con un singolo gruppo di esecuzione.

JSON

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:workflow/1234567",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:GetRun",
              "omics:ListRunTasks",
              "omics:GetRunTask",
              "omics:CancelRun",
              "omics:DeleteRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*"
          ]
      }     
  ]
}