Políticas de IAM baseadas em identidade para HealthOmics

Para conceder acesso aos usuários da sua conta HealthOmics, você usa políticas baseadas em identidade no AWS Identity and Access Management (IAM). As políticas baseadas em identidade podem ser aplicadas diretamente aos usuários do IAM ou aos grupos e funções do IAM associados a um usuário. Também é possível conceder a usuários em outra conta permissão para assumir uma função na conta e acessar os recursos do HealthOmics.

Para conceder permissão aos usuários para realizar ações em uma versão do fluxo de trabalho, você deve adicionar o fluxo de trabalho e a versão específica do fluxo de trabalho à lista de recursos.

A política do IAM a seguir permite que um usuário acesse todas as ações HealthOmics da API e transmita funções de serviço para HealthOmics o.

exemplo Política de usuário

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "omics:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "omics.amazonaws.com"
        }
      }
    }
  ]
}

Quando você usa HealthOmics, você também interage com outros AWS serviços. Para acessar esses serviços, use as políticas gerenciadas fornecidas por cada serviço. Para restringir o acesso a um subconjunto de recursos, você pode usar as políticas gerenciadas como ponto de partida para criar suas próprias políticas mais restritivas.

• AmazonS3 FullAccess — Acesso aos buckets e objetos do Amazon S3 usados por trabalhos.

• Amazon EC2 ContainerRegistryFullAccess — Acesso aos registros e repositórios do Amazon ECR para imagens de contêineres de fluxo de trabalho.

• AWSLakeFormationDataAdmin— Acesso aos bancos de dados e tabelas do Lake Formation criados por lojas de análise.

• ResourceGroupsandTagEditorFullAccess— Marque HealthOmics recursos com operações de API de HealthOmics marcação.

As políticas anteriores não permitem que um usuário crie funções do IAM. Para que um usuário com essas permissões execute um trabalho, um administrador deve criar a função de serviço que conceda HealthOmics permissão para acessar fontes de dados. Para obter mais informações, consulte Funções de serviço para AWS HealthOmics.

Defina permissões personalizadas do IAM para execuções

Você pode incluir qualquer fluxo de trabalho, execução ou grupo de execução referenciado pela StartRun solicitação em uma solicitação de autorização. Para fazer isso, liste a combinação desejada de fluxos de trabalho, execuções ou grupos de execução na política do IAM. Por exemplo, você pode limitar o uso de um fluxo de trabalho a uma execução específica ou a um grupo de execução. Você também pode especificar que um fluxo de trabalho seja usado somente com um grupo de execução.

Veja a seguir um exemplo de política do IAM que permite um único fluxo de trabalho com um único grupo de execução.

JSON

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:workflow/1234567",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:GetRun",
              "omics:ListRunTasks",
              "omics:GetRunTask",
              "omics:CancelRun",
              "omics:DeleteRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*"
          ]
      }     
  ]
}