AWS Data Pipeline のポリシー例 - AWS Data Pipeline
例 1: タグに基づいてユーザーに読み取り専用アクセスを付与する例 2: タグに基づいてユーザーにフルアクセスを付与する例 3: パイプライン所有者にフルアクセスを付与する例 4: ユーザーに AWS Data Pipeline コンソールへのアクセスを許可する

AWS Data Pipeline は、新規顧客には利用できなくなりました。の既存のお客様 AWS Data Pipeline は、通常どおりサービスを引き続き使用できます。詳細はこちら

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Data Pipeline のポリシー例

次の例では、パイプラインへのフルアクセスまたは限定的なアクセスをユーザーに許可する方法を示します。

例 1: タグに基づいてユーザーに読み取り専用アクセスを付与する

次のポリシーでは、ユーザーは、"environment=production" タグの付いたパイプラインのみを実行する読み取り専用の AWS Data Pipeline API アクションを使用できます。

ListPipelines API アクションでは、タグに基づいた権限付与はサポートされていません。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:Describe*",
        "datapipeline:GetPipelineDefinition",
        "datapipeline:ValidatePipelineDefinition",
        "datapipeline:QueryObjects"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "production"
        }
      }
    }
  ]
}

例 2: タグに基づいてユーザーにフルアクセスを付与する

以下のポリシーでは、ユーザーは、"environment=test" タグの付いたパイプラインのみを実行するすべての AWS Data Pipeline API アクション (ListPipelines 以外) を使用できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "test"
        }
      }
    }
  ]
}

例 3: パイプライン所有者にフルアクセスを付与する

次のポリシーでは、ユーザーは、独自のパイプラインのみを実行するすべての AWS Data Pipeline API アクションを使用できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:PipelineCreator": "${aws:userid}"
        }
      }
    }
  ]
}

例 4: ユーザーに AWS Data Pipeline コンソールへのアクセスを許可する

次のポリシーでは、ユーザーは、AWS Data Pipeline コンソールを使用してパイプラインを作成および管理できます。

このポリシーには、AWS Data Pipeline​ に必要な roleARN に紐付けられた特定のリソースに対する PassRole アクセス権限が含まれます。アイデンティティベース (IAM) の PassRole アクセス権限の詳細については、ブログ記事「IAM ロール (PassRole アクセス権限) を使用した EC2 インスタンスの起動アクセス権限の付与」を参照してください。

{
	"Version": "2012-10-17",
	"Statement": [{
			"Action": [
				"cloudwatch:*",
				"datapipeline:*",
				"dynamodb:DescribeTable",
				"elasticmapreduce:AddJobFlowSteps",
				"elasticmapreduce:ListInstance*",
				"iam:AddRoleToInstanceProfile",
				"iam:CreateInstanceProfile",
				"iam:GetInstanceProfile",
				"iam:GetRole",
				"iam:GetRolePolicy",
				"iam:ListInstanceProfiles",
				"iam:ListInstanceProfilesForRole",
				"iam:ListRoles",
				"rds:DescribeDBInstances",
				"rds:DescribeDBSecurityGroups",
				"redshift:DescribeClusters",
				"redshift:DescribeClusterSecurityGroups",
				"s3:List*",
				"sns:ListTopics"
			],
			"Effect": "Allow",
			"Resource": [
				"*"
			]
		},
		{
			"Action": "iam:PassRole",
			"Effect": "Allow",
			"Resource": [
				"arn:aws:iam::*:role/DataPipelineDefaultResourceRole",
				"arn:aws:iam::*:role/DataPipelineDefaultRole"
			]
		}
	]
}