Exemplo de políticas para o AWS Data Pipeline - AWS Data Pipeline
Exemplo 1: Conceder aos usuários acesso somente leitura baseado em uma tagExemplo 2: Conceder aos usuários acesso total baseado em uma tagExemplo 3: Conceder acesso total ao proprietário do pipelineExemplo 4: Conceder aos usuários acesso ao console do AWS Data Pipeline

Exemplo de políticas para o AWS Data Pipeline

Os exemplos a seguir demonstram como conceder aos usuários acesso total ou restrito a pipelines.

Exemplo 1: Conceder aos usuários acesso somente leitura baseado em uma tag

A política a seguir permite que os usuários usem as ações somente leitura da API do AWS Data Pipeline, mas apenas com pipelines que têm a tag “environment=production”.

A ação de API ListPipelines não oferece suporte à autorização com base na tag.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:Describe*",
        "datapipeline:GetPipelineDefinition",
        "datapipeline:ValidatePipelineDefinition",
        "datapipeline:QueryObjects"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "production"
        }
      }
    }
  ]
}

Exemplo 2: Conceder aos usuários acesso total baseado em uma tag

A política a seguir permite que os usuários usem todas as ações de API do AWS Data Pipeline exceto ListPipelines, mas apenas com pipelines com a tag “environment=test”.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "test"
        }
      }
    }
  ]
}

Exemplo 3: Conceder acesso total ao proprietário do pipeline

A política a seguir permite que os usuários usem todas as ações de API do AWS Data Pipeline, mas apenas com seus próprios pipelines.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:PipelineCreator": "${aws:userid}"
        }
      }
    }
  ]
}

Exemplo 4: Conceder aos usuários acesso ao console do AWS Data Pipeline

A política a seguir permite que os usuários criem e gerenciem um pipeline com o console do AWS Data Pipeline.

Esta política inclui a ação de permissões do PassRole para recursos específicos vinculados ao roleARN de que o AWS Data Pipeline precisa. Para obter mais informações sobre a permissão PassRolebaseada em identidade (IAM), consulte a publicação do blog Conceder permissão para executar instâncias do EC2 com funções do IAM (Permissão PassRole).

{
	"Version": "2012-10-17",
	"Statement": [{
			"Action": [
				"cloudwatch:*",
				"datapipeline:*",
				"dynamodb:DescribeTable",
				"elasticmapreduce:AddJobFlowSteps",
				"elasticmapreduce:ListInstance*",
				"iam:AddRoleToInstanceProfile",
				"iam:CreateInstanceProfile",
				"iam:GetInstanceProfile",
				"iam:GetRole",
				"iam:GetRolePolicy",
				"iam:ListInstanceProfiles",
				"iam:ListInstanceProfilesForRole",
				"iam:ListRoles",
				"rds:DescribeDBInstances",
				"rds:DescribeDBSecurityGroups",
				"redshift:DescribeClusters",
				"redshift:DescribeClusterSecurityGroups",
				"s3:List*",
				"sns:ListTopics"
			],
			"Effect": "Allow",
			"Resource": [
				"*"
			]
		},
		{
			"Action": "iam:PassRole",
			"Effect": "Allow",
			"Resource": [
				"arn:aws:iam::*:role/DataPipelineDefaultResourceRole",
				"arn:aws:iam::*:role/DataPipelineDefaultRole"
			]
		}
	]
}