Gerencie funções do IAM por meio do console Amazon Data Firehose - Amazon Data Firehose
Escolha uma função existente do IAMCrie uma nova função do IAM a partir do consoleEditar a função do IAM no console

O Amazon Data Firehose era conhecido anteriormente como Amazon Kinesis Data Firehose

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerencie funções do IAM por meio do console Amazon Data Firehose

O Amazon Data Firehose é um serviço totalmente gerenciado que fornece dados de streaming em tempo real para destinos. Você também pode configurar o Firehose para transformar e converter o formato dos seus dados antes da entrega. Para usar esses recursos, primeiro você deve fornecer funções do IAM para conceder permissões ao Firehose ao criar ou editar um stream do Firehose. O Firehose usa essa função do IAM para todas as permissões que o stream do Firehose precisa.

Por exemplo, considere um cenário em que você cria um stream do Firehose que entrega dados para o Amazon S3, e esse stream do Firehose tem registros de origem do Transform com o recurso ativado. AWS Lambda Nesse caso, você deve fornecer funções do IAM para conceder permissões ao Firehose para acessar o bucket do S3 e invocar a função Lambda, conforme mostrado a seguir.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "lambdaProcessing",
        "Effect": "Allow",
        "Action": ["lambda:InvokeFunction", "lambda:GetFunctionConfiguration"],
        "Resource": "arn:aws:lambda:us-east-1:<account id>:function:<lambda function name>:<lambda function version>"
    }, {
        "Sid": "s3Permissions",
        "Effect": "Allow",
        "Action": ["s3:AbortMultipartUpload", "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:PutObject"],
        "Resource": ["arn:aws:s3:::<bucket name>", "arn:aws:s3:::<bucket name>/*"]
    }]
}

O console Firehose permite que você escolha como deseja fornecer essas funções. Você pode escolher uma das opções a seguir.

Escolha uma função existente do IAM

Você pode escolher entre uma função existente do IAM. Com essa opção, certifique-se de que a função do IAM escolhida tenha uma política de confiança adequada e as permissões necessárias para sua origem e destino. Para ter mais informações, consulte Controle de acesso com o Amazon Data Firehose.

Crie uma nova função do IAM a partir do console

Como alternativa, você também pode usar o console Firehose para criar uma nova função em seu nome.

Quando o Firehose cria uma função do IAM em seu nome, a função inclui automaticamente todas as políticas de permissão e confiança que concedem as permissões necessárias com base na configuração do stream do Firehose.

Por exemplo, se você não habilitou Transformar registros de origem com o AWS Lambda recurso, o console gerará a seguinte declaração na política de permissão.

{
  "Sid": "lambdaProcessing",
  "Effect": "Allow",
   "Action": [
     "lambda:InvokeFunction",
     "lambda:GetFunctionConfiguration"
   ],
   "Resource": "arn:aws:lambda:us-east-1:<account id>:function:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
}
nota

É seguro ignorar as declarações de política contidas nela%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%, pois elas não concedem permissões sobre nenhum recurso.

O console cria e edita fluxos de trabalho de stream do Firehose também cria uma política de confiança e a anexa à função do IAM. A política de confiança permite que o Firehose assuma a função do IAM. Veja a seguir um exemplo de uma política de confiança.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "firehoseAssume",
        "Effect": "Allow",
        "Principal": {
            "Service": "firehose.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
Importante

  • Você deve evitar usar a mesma função do IAM gerenciada pelo console para vários streams do Firehose. Caso contrário, a função do IAM pode se tornar excessivamente permissiva ou resultar em erros.

  • Para usar declarações de política diferentes em uma política de permissão de uma função do IAM gerenciada pelo console, você pode criar sua própria função do IAM e copiar as declarações de política para uma política de permissão anexada à nova função. Para anexar a função ao stream do Firehose, selecione a opção Escolher função do IAM existente no acesso ao serviço.

  • O console gerencia qualquer função do IAM que contenha a string service-role em seu ARN. Ao escolher a opção de função do IAM existente, certifique-se de selecionar uma função do IAM sem a string da função de serviço em seu ARN para que o console não faça nenhuma alteração nela.

  1. Abra o console do Firehose em https://console.aws.amazon.com/firehose/.

  2. Escolha Create Firehose stream.

  3. Escolha uma origem e um destino. Para ter mais informações, consulte Crie um stream do Firehose.

  4. Escolha as configurações de destino. Para ter mais informações, consulte Definir configurações de destino.

  5. Em Configurações avançadas, para acesso ao serviço, escolha Criar ou atualizar a função do IAM.

    nota

    Essa é uma opção padrão. Para usar uma função existente, selecione a opção Escolher função do IAM existente. O console Firehose não fará nenhuma alteração em sua própria função.

  6. Escolha Create Firehose stream.

Editar a função do IAM no console

Quando você edita um stream do Firehose, o Firehose atualiza a política de permissão correspondente de acordo com as alterações de configuração e permissão.

Por exemplo, quando você edita o stream do Firehose e ativa o AWS Lambda recurso Transform source records with using the latest version of Lambda function asexampleLambdaFunction, você obtém a seguinte declaração de política na política de permissão.

{
  "Sid": "lambdaProcessing",
  "Effect": "Allow",
  "Action": [
    "lambda:InvokeFunction",
    "lambda:GetFunctionConfiguration"
  ],
  "Resource": "arn:aws:lambda:us-east-1:<account id>:function:exampleLambdaFunction:$LATEST"
}
Importante

Uma função do IAM gerenciada pelo console foi projetada para ser autônoma. Não recomendamos que você modifique a política de permissão ou a política de confiança fora do console.

  1. Abra o console do Firehose em https://console.aws.amazon.com/firehose/.

  2. Escolha Streams do Firehose e escolha o nome de um stream do Firehose que você deseja atualizar.

  3. Na guia Configuração, na seção Acesso ao servidor, escolha Editar.

  4. Atualize a opção de função do IAM.

    nota

    Por padrão, o console sempre atualiza uma função do IAM com a função de serviço padrão em seu ARN. Ao escolher a opção de função do IAM existente, certifique-se de selecionar uma função do IAM sem a string da função de serviço em seu ARN para que o console não faça nenhuma alteração nela.

  5. Escolha Salvar alterações.