コンソールから新しいIAMロールを作成する - Amazon Data Firehose

Amazon S3 の Apache Iceberg テーブルへの Amazon Data Firehose ストリームの配信はプレビュー中であり、変更される可能性があります。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールから新しいIAMロールを作成する

または、Firehose コンソールを使用して、ユーザーに代わって新しいロールを作成することもできます。

Firehose がユーザーに代わって IAMロールを作成すると、そのロールには、Firehose ストリーム設定に基づいて必要なアクセス許可を付与するすべてのアクセス許可と信頼ポリシーが自動的に含まれます。

例えば、 でソースレコードの変換を有効にしなかった場合 AWS Lambda 次に、 コンソールはアクセス許可ポリシーで次のステートメントを生成します。

{
  "Sid": "lambdaProcessing",
  "Effect": "Allow",
   "Action": [
     "lambda:InvokeFunction",
     "lambda:GetFunctionConfiguration"
   ],
   "Resource": "arn:aws:lambda:us-east-1:<account id>:function:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
}
注記

リソースに対するアクセス許可を付与しない%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%ため、 を含むポリシーステートメントは無視しても問題ありません。

コンソールで Firehose ストリームワークフローを作成および編集すると、信頼ポリシーも作成され、IAMロールにアタッチされます。信頼ポリシーは、Firehose がIAMロールを引き受けることを許可します。信頼ポリシーの例を次に示します。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "firehoseAssume",
        "Effect": "Allow",
        "Principal": {
            "Service": "firehose.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
重要

  • 複数の Firehose ストリームに同じコンソール管理IAMロールを使用しないでください。そうしないと、IAMロールが過度に許容されたり、エラーが発生する可能性があります。

  • コンソール管理IAMロールからアクセス許可ポリシー内で異なるポリシーステートメントを使用するには、独自のIAMロールを作成し、そのポリシーステートメントを新しいロールにアタッチされたアクセス許可ポリシーにコピーします。ロールを Firehose ストリームにアタッチするには、サービスアクセス で既存のIAMロールを選択 オプションを選択します。

  • コンソールは、 に文字列 service-role を含むIAMすべてのロールを管理しますARN。既存のIAMロールオプションを選択するときは、ARNコンソールが変更を加えないように、サービスロール文字列IAMを含まないロールを必ず選択してください。

  1. で Firehose コンソールを開きますhttps://console.aws.amazon.com/firehose/

  2. Firehose ストリームの作成 を選択します

  3. 送信元と送信先を選択します。詳細については、「チュートリアル: コンソールから Firehose ストリームを作成する」を参照してください。

  4. 送信先設定を選択します。詳細については、「送信先設定を構成する」を参照してください。

  5. 詳細設定「サービスアクセス」で、IAM「ロールの作成または更新」を選択します。

    注記

    これはデフォルトのオプションです。既存のロールを使用するには、既存のIAMロールの選択オプションを選択します。Firehose コンソールは、自分のロールを変更しません。

  6. Firehose ストリームの作成 を選択します。