本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
从控制台创建新IAM角色
或者,您也可以使用 Firehose 控制台代表您创建新角色。
当 Firehose 代表您创建IAM角色时,该角色会自动包含所有权限和信任策略,这些策略根据 Firehose 直播配置授予所需权限。
例如,如果您没有启用 “转换源记录” AWS Lambda功能,则控制台会在权限策略中生成以下语句。
{ "Sid": "lambdaProcessing", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:us-east-1:<account id>:function:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%" }
注意
可以放心地忽略包含的策略声明,%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%因为它们不授予对任何资源的权限。
控制台创建和编辑 Firehose 直播工作流程还会创建信任策略并将其附加到角色。IAM信任策略允许 Firehose 担任该角色。IAM以下是信任策略的示例。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "firehoseAssume", "Effect": "Allow", "Principal": { "Service": "firehose.amazonaws.com" }, "Action": "sts:AssumeRole" }] }
重要
-
您应避免为多个 Firehose 直播使用相同的控制台管理IAM角色。否则,该IAM角色可能会变得过于宽松或导致错误。
-
要在权限策略中使用与控制台管理IAM角色不同的策略声明,您可以创建自己的IAM角色,并将策略声明复制到附加到新角色的权限策略中。要将角色附加到 Firehose 直播中,请在服务访问权限中选择选择现有IAM角色选项。
-
控制台管理其ARN中包含字符串服务IAM角色的任何角色。选择现有IAM角色选项时,请务必选择一个IAM不包含服务角色字符串的角色,ARN这样控制台就不会对其进行任何更改。
-
打开 Firehose 控制台,网址为。https://console.aws.amazon.com/firehose/
-
选择创建 Firehose 直播。
选择来源和目的地。有关更多信息,请参阅 教程:从控制台创建 Firehose 直播。
选择目的地设置。有关更多信息,请参阅 配置目的地设置。
在高级设置下,对于服务访问权限,选择创建或更新IAM角色。
注意
这是默认选项。要使用现有角色,请选择选择现有IAM角色选项。Firehose 主机不会对你自己的角色进行任何更改。
选择创建 Firehose 直播。
