本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
从控制台中创建新的 IAM 角色
或者,您也可以使用 Firehose 控制台来代表您创建新的角色。
当 Firehose 代表您创建 IAM 角色时,该角色会自动包含基于 Firehose 流配置授予所需权限的所有权限和信任策略。
例如,如果您没有启用使用 AWS Lambda转换源记录功能,则控制台会在权限策略中生成以下语句。
{ "Sid": "lambdaProcessing", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:us-east-1:<account id>:function:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%" }
注意
可以放心地忽略包含 %FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER% 的策略声明,因为它们不授予对任何资源的权限。
控制台创建和编辑 Firehose 流工作流程,也会创建信任策略并将其附加到 IAM 角色。此信任策略允许 Firehose 承担 IAM 角色。以下是信任策略的示例。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "firehoseAssume", "Effect": "Allow", "Principal": { "Service": "firehose.amazonaws.com" }, "Action": "sts:AssumeRole" }] }
重要
-
您应避免为多个 Firehose 流使用相同的控制台托管 IAM 角色。否则,IAM 角色可能会变得权限过于宽松或导致错误。
-
要在控制台托管的 IAM 角色的权限策略中使用不同的策略声明,您可以创建自己的 IAM 角色,并将策略声明复制到新角色所附加的权限策略中。要将角色附加到 Firehose 流,请在服务访问权限中选择选择现有 IAM 角色选项。
-
控制台管理其 ARN 中包含字符串 service-role 的 IAM 角色。选择现有 IAM 角色选项时,请务必选择一个 ARN 中没有 service-role 字符串的 IAM 角色,这样控制台就不会对其进行任何更改。
-
打开 Firehose 控制台,网址为。https://console.aws.amazon.com/firehose/
-
选择创建 Firehose 流。
选择源和目的地。有关更多信息,请参阅 教程:从控制台创建 Firehose 流。
选择目的地设置。有关更多信息,请参阅 配置目的地设置。
在高级设置下,针对服务访问权限,选择创建或更新 IAM 角色。
注意
这是默认选项。要使用现有角色,请选择选择现有 IAM 角色选项。Firehose 控制台不会对您自己的角色进行任何更改。
选择创建 Firehose 流。
