정책 예제: () - AWS Batch

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

정책 예제: ()

다음 예는 사용 권한을 제어하는 데 사용할 수 있는 정책 설명을 보여줍니다. IAM 사용자들은 AWS Batch.

예: 읽기 전용 액세스

다음 정책은 사용자에게 모든 사용 권한을 부여합니다. AWS Batch 이름이 시작되는 API 작업 Describe and List.

다른 명령문으로 해당 권한을 부여하지 않는 경우 리소스에 대해 작업을 수행할 권한은 부여되지 않습니다. 해당 API 작업을 사용할 권한은 기본적으로 거부됩니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:Describe*", "batch:List*" ], "Resource": "*" } ] }

예: POSIX 사용자, 도커 이미지, 권한 수준 및 직무 제출 시 역할 제한

다음 정책은 사용자가 고유의 제한된 작업 정의 세트를 관리할 수 있도록 허용합니다.

첫 번째와 두 번째 문장은 사용자가 이름을 붙인 모든 직무 정의 이름을 등록하고 취소하도록 허용합니다.JobDefA_.

또한 첫 번째 설명문은 조건 컨텍스트 키를 사용하여 작업 정의의 containerProperties 내에 있는 POSIX 사용자, 권한 상태, 컨테이너 이미지 값을 제한합니다. 자세한 내용은 레지스터정의 in the AWS Batch API 레퍼런스. 이 예에서 직무 정의는 POSIX 사용자가 nobody권한 있는 플래그가 다음으로 설정되어 있습니다. false이미지를 설정합니다. myImage 에서 Amazon ECR 저장소.

중요

Docker는 user 해당 사용자의 uid 용기 이미지 에서. 대부분의 경우 이 값은 컨테이너 이미지 내의 /etc/passwd 파일에서 찾을 수 있습니다. 이 이름 확인은 직접 uid 직무 정의와 관련된 모든 관련 값 IAM 정책. 두 사람 모두 AWS Batch 청구 및 batch:User IAM 조건부 키는 의 값을 지원합니다.

세 번째 설명문은 사용자가 특정 역할만 작업 정의에 전달할 수 있도록 제한합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:RegisterJobDefinition" ], "Resource": [ "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*" ], "Condition": { "StringEquals": { "batch:User": [ "nobody" ], "batch:Image": [ "<aws_account_id>.dkr.ecr.<aws_region>.amazonaws.com/myImage" ] }, "Bool": { "batch:Privileged": "false" } } }, { "Effect": "Allow", "Action": [ "batch:DeregisterJobDefinition" ], "Resource": [ "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<aws_account_id>:role/MyBatchJobRole" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "batch.amazonaws.com" ] } } } ] }

예: 직무 제출 시 직무 정의 접두사로 제한

다음 정책을 통해 사용자는 작업 정의 이름이 포함된 작업 큐에 작업을 제출할 수 있습니다.JobDefA_.

중요

작업 제출을 위한 리소스 수준 액세스의 범위를 지정할 때 작업 대기열 및 작업 정의 리소스 유형을 모두 제공해야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:SubmitJob" ], "Resource": [ "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/JobDefA_*", "arn:aws:batch:<aws_region>:<aws_account_id>:job-queue/*" ] } ] }

예: 작업 대기열로 제한

다음 정책에서는 사용자가 지정된 특정 작업 대기열에 작업을 제출할 수 있습니다. 대기열1, 모든 작업 정의 이름.

중요

작업 제출을 위한 리소스 수준 액세스의 범위를 지정할 때 작업 대기열 및 작업 정의 리소스 유형을 모두 제공해야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "batch:SubmitJob" ], "Resource": [ "arn:aws:batch:<aws_region>:<aws_account_id>:job-definition/*", "arn:aws:batch:<aws_region>:<aws_account_id>:job-queue/queue1" ] } ] }