Ações, recursos e chaves de condição do AWS Data Pipeline - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWS Data Pipeline

O AWS Data Pipeline (prefixo do serviço: datapipeline) fornece os seguintes recursos, ações e chaves de contexto de condição específicos ao serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS Data Pipeline

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
ActivatePipeline Concede permissão para validar o pipeline especificado e inicia as tarefas de processamento do pipeline. Se o pipeline não passar na validação, a ativação falhará Write

datapipeline:PipelineCreator

datapipeline:Tag

datapipeline:workerGroup

AddTags Concede permissão para adicionar ou modificar etiquetas do pipeline especificado Marcação

datapipeline:PipelineCreator

datapipeline:Tag

CreatePipeline Concede permissão para criar um novo pipeline vazio Write

aws:RequestTag/${TagKey}

aws:TagKeys

datapipeline:Tag

DeactivatePipeline Concede permissão para desativar o pipeline em execução especificado Write

datapipeline:PipelineCreator

datapipeline:Tag

datapipeline:workerGroup

DeletePipeline Concede permissão para excluir um pipeline, a definição do pipeline e o histórico de execuções Write

datapipeline:PipelineCreator

datapipeline:Tag

DescribeObjects Concede permissão para obter as definições de objetos de um conjunto de objetos associados ao pipeline Read

datapipeline:PipelineCreator

datapipeline:Tag

DescribePipelines Concede permissão para recuperar metadados sobre um ou mais pipelines List

datapipeline:PipelineCreator

datapipeline:Tag

EvaluateExpression Concede permissão aos executores de tarefas para chamar EvaluateExpression para avaliar uma string no contexto do objeto especificado Read

datapipeline:PipelineCreator

datapipeline:Tag

GetAccountLimits Concede permissão para chamar GetAccountLimits List
GetPipelineDefinition Concede permissão para obter a definição do pipeline especificado Read

datapipeline:PipelineCreator

datapipeline:Tag

datapipeline:workerGroup

ListPipelines Concede permissão para listar os identificadores de pipeline de todos os pipelines ativos que você tem permissão para acessar List
PollForTask Concede permissão aos executores de tarefas para chamar PollForTask para receber uma tarefa a ser executada no AWS Data Pipeline Write

datapipeline:workerGroup

PutAccountLimits Concede permissão para chamar PutAccountLimits Write
PutPipelineDefinition Concede permissão para adicionar tarefas, programações e pré-condições ao pipeline especificado Write

datapipeline:PipelineCreator

datapipeline:Tag

datapipeline:workerGroup

QueryObjects Concede permissão para consultar o pipeline para obter os nomes de objetos que correspondem ao conjunto de condições especificadas Read

datapipeline:PipelineCreator

datapipeline:Tag

RemoveTags Concede permissão para remover as etiquetas da fila do SQS para o pipeline especificado Marcação

datapipeline:PipelineCreator

datapipeline:Tag

ReportTaskProgress Concede permissão aos executores de tarefas para chamar ReportTaskProgress quando uma tarefa é atribuída para confirmar que têm a tarefa Write
ReportTaskRunnerHeartbeat Concede permissão aos executores de tarefas para chamar ReportTaskRunnerHeartbeat a cada 15 minutos para indicar que estão operacionais Write
SetStatus Concede permissão para solicitar que o status dos objetos físicos ou lógicos especificados do pipeline sejam atualizados no pipeline especificado Write

datapipeline:PipelineCreator

datapipeline:Tag

SetTaskStatus Concede permissão para os executores para chamar SetTaskStatus para notificar o AWS Data Pipeline de que uma tarefa está concluída e para fornecer informações sobre o status final Write
ValidatePipelineDefinition Concede permissão para validar a definição do pipeline especificado para garantir que está bem formado e pode ser executado sem erros Read

datapipeline:PipelineCreator

datapipeline:Tag

datapipeline:workerGroup

Tipos de recursos definidos pelo AWS Data Pipeline

O AWS Data Pipeline não oferece suporte à especificação do ARN de um recurso no elemento Resource de uma instrução de política do IAM. Para permtir acesso ao AWS Data Pipeline, especifique “Resource”: “*” na política.

Chaves de condição do AWS Data Pipeline

O AWS Data Pipeline define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra acesso pela presença de pares de chave-valor da etiqueta na solicitação String
aws:TagKeys Filtra ações pela presença de chaves da etiqueta na solicitação ArrayOfString
datapipeline:PipelineCreator Filtra acesso pelo usuário do IAM que criou o pipeline ArrayOfString
datapipeline:Tag Filtra acesso por um par de chave-valor especificado pelo cliente que pode ser anexado a um recurso ArrayOfString
datapipeline:workerGroup Filtra o acesso pelo nome do grupo de operadores para o qual um executor de tarefas recupera o trabalho ArrayOfString