Para criar um novo perfil do IAM no console - Amazon Data Firehose

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Para criar um novo perfil do IAM no console

Como alternativa, é possível usar o console do Firehose para criar um novo perfil em seu nome.

Quando o Firehose cria um perfil do IAM em seu nome, o perfil inclui automaticamente todas as políticas de permissão e confiança que concedem as permissões necessárias com base na configuração do fluxo do Firehose.

Por exemplo, se você não habilitou o atributo Transformar registros da fonte com o AWS Lambda, o console gerará a declaração a seguir na política de permissão.

{
  "Sid": "lambdaProcessing",
  "Effect": "Allow",
   "Action": [
     "lambda:InvokeFunction",
     "lambda:GetFunctionConfiguration"
   ],
   "Resource": "arn:aws:lambda:us-east-1:<account id>:function:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
}
nota

É seguro ignorar as declarações de política que contenham %FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%, pois elas não concedem permissões sobre nenhum recurso.

O console cria e edita fluxos de trabalho de fluxo do Firehose também cria uma política de confiança e a anexa ao perfil do IAM. Essa política de confiança permite que o Firehose assuma o perfil do IAM. Veja a seguir um exemplo de política de confiança.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "firehoseAssume",
        "Effect": "Allow",
        "Principal": {
            "Service": "firehose.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
Importante

  • Você deve evitar usar o mesmo perfil do IAM gerenciado pelo console para vários fluxos do Firehose. Caso contrário, o perfil do IAM pode se tornar excessivamente permissivo ou resultar em erros.

  • Para usar declarações de política diferentes em uma política de permissão de um perfil do IAM gerenciado pelo console, é possível criar seu próprio perfil do IAM e copiar as declarações de política para uma política de permissão anexada ao novo perfil. Para anexar o perfil ao fluxo do Firehose, selecione a opção Escolher perfil do IAM existente no Acesso ao serviço.

  • O console gerencia qualquer perfil do IAM que contenha a string service-role em seu ARN. Ao escolher a opção de perfil do IAM existente, certifique-se de selecionar um perfil do IAM sem a string service-role em seu ARN, para que o console não faça nenhuma alteração nela.

  1. Abra o console Firehose em. https://console.aws.amazon.com/firehose/

  2. Escolha Criar fluxo do Firehose.

  3. Escolha uma fonte e um destino. Para obter mais informações, consulte Tutorial: Criação de um fluxo do Firehose a partir do console.

  4. Escolha as configurações do destino. Para obter mais informações, consulte Definição de configurações do destino.

  5. Em Configurações avançadas, para Acesso ao serviço, escolha Criar ou atualizar perfil do IAM.

    nota

    Essa é uma opção padrão. Para usar um perfil existente, selecione a opção Escolher perfil do IAM existente. O console do Firehose não fará nenhuma alteração em seu próprio perfil.

  6. Escolha Criar fluxo do Firehose.