設定 AWS Data Pipeline

第一次使 AWS Data Pipeline 用前，請先完成下列工作。

完成這些工作後，即可開始使用 AWS Data Pipeline。如需基本教學，請參閱AWS Data Pipeline 入門。

註冊成為 AWS

當您註冊 Amazon Web Services (AWS) 時，您的 AWS 帳戶會自動註冊 AWS 中的所有服務，包括 AWS Data Pipeline。您只需支付實際使用服務的費用。如需 AWS Data Pipeline 使用費率的詳細資訊，請參閱 AWS Data Pipeline。

註冊一個 AWS 帳戶

如果您沒有 AWS 帳戶，請完成以下步驟來建立一個。

若要註冊成為 AWS 帳戶

1. 開啟 https://portal.aws.amazon.com/billing/signup。

2. 請遵循線上指示進行。

   部分註冊程序需接收來電，並在電話鍵盤輸入驗證碼。

   當您註冊一個時 AWS 帳戶，將創建AWS 帳戶根使用者一個。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。安全性最佳做法是將管理存取權指派給使用者，並僅使用 root 使用者來執行需要 root 使用者存取權的工作。

AWS 註冊過程完成後，會向您發送確認電子郵件。您可以隨時登錄 https://aws.amazon.com/ 並選擇 我的帳戶，以檢視您目前的帳戶活動並管理帳戶。

建立具有管理權限的使用者

註冊後，請確保您的安全 AWS 帳戶 AWS 帳戶根使用者 AWS IAM Identity Center、啟用和建立系統管理使用者，這樣您就不會將 root 使用者用於日常工作。

保護您的 AWS 帳戶根使用者

1. 選擇 Root 使用者並輸入您的 AWS 帳戶 電子郵件地址，以帳戶擁有者身分登入。AWS Management Console在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 AWS 登入 使用者指南中的以根使用者身分登入。

2. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需指示，請參閱《IAM 使用者指南》中的為 AWS 帳戶 根使用者啟用虛擬 MFA 裝置 (主控台)。

建立具有管理權限的使用者

1. 啟用 IAM Identity Center。

   如需指示，請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center。

2. 在 IAM 身分中心中，將管理存取權授予使用者。

   若要取得有關使用 IAM Identity Center 目錄 做為身分識別來源的自學課程，請參閱《使用指南》 IAM Identity Center 目錄中的「以預設值設定使用AWS IAM Identity Center 者存取」。

以具有管理權限的使用者身分登入

• 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM 身分中心使用者登入的說明，請參閱使用AWS 登入 者指南中的登入 AWS 存取入口網站。

指派存取權給其他使用者

1. 在 IAM 身分中心中，建立遵循套用最低權限許可的最佳做法的權限集。

   如需指示，請參閱《AWS IAM Identity Center 使用指南》中的「建立權限集」。

2. 將使用者指派給群組，然後將單一登入存取權指派給群組。

   如需指示，請參閱《AWS IAM Identity Center 使用指南》中的「新增群組」。

為 AWS Data Pipeline 和管道資源建立 IAM 角色

AWS Data Pipeline 需要可決定執行動作和存取 AWS 資源的許可的 IAM 角色。管道角色決定 AWS Data Pipeline 具有的許可，而資源角色則決定在管線資源 (例如 EC2 執行個體) 上執行的應用程式擁有的許可。您可以在建立管線時指定這些角色。即使您未指定自訂角色並使用預設角色 DataPipelineDefaultRoleDataPipelineDefaultResourceRole，也必須先建立角色並附加權限原則。如需詳細資訊，請參閱 AWS Data Pipeline 的 IAM 角色。

允許 IAM 主體 (使用者和群組) 執行必要動作

若要使用管道，您帳戶中的 IAM 主體 (使用者或群組) 必須能夠針對管道所定義的其他服務執行必要AWS Data Pipeline 的動作和動作。

為了簡化許可，您可以使用AWSDataPipeline_FullAccess受管政策連接到 IAM 主體。此受管理的原則可讓主參與者執行使用者需要的所有iam:PassRole動作，以及未指定自訂角色 AWS Data Pipeline 時所使用之預設角色的動作。

我們強烈建議您仔細評估此受管理政策，並將權限限制為您的使用者需要的原則。如有必要，請使用此政策做為起點，然後移除許可以建立更嚴格的內嵌許可政策，以附加至 IAM 主體。如需詳細資訊和權限原則範例，請參閱 用於 AWS Data Pipeline 的政策範例

類似下列範例的政策陳述式必須包含在附加至使用管線的任何 IAM 主體的政策中。此陳述式可讓 IAM 主體對管道使用的角色執行PassRole動作。如果您不使用預設角色，請將MyPipelineRole和MyResourceRole取代為您建立的自訂角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/MyPipelineRole",
                "arn:aws:iam::*:role/MyResourceRole"
            ]
        }
    ]
}

下列程序示範如何建立 IAM 群組、將AWSDataPipeline_FullAccess受管政策附加到群組，然後將使用者新增至群組。您可以針對任何內嵌政策使用此程序

若要建立使用者群組DataPipelineDevelopers並附加AWSDataPipeline_FullAccess原則

1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

2. 在導覽窗格中，選擇 Groups (群組)、Create New Group (建立新群組)。

3. 例如，輸入群組名稱DataPipelineDevelopers，然後選擇 [下一步]。

4. 輸入AWSDataPipeline_FullAccess篩選條件，然後從清單中選取它。

5. 選擇 Next Step (下一步)，然後選擇 Create Group (建立群組)。

6. 若要將使用者新增至群組：

   1. 從群組清單中選取您建立的群組。

   2. 選擇群組動作、新增使用者至群組。

   3. 從清單中選取要新增的使用者，然後選擇 [新增使用者至群組]。

授予程式設計存取權

如果使用者想要與 AWS 之外的 AWS Management Console. 授與程式設計存 AWS取權的方式取決於正在存取的使用者類型。

若要授與使用者程式設計存取權，請選擇下列其中一個選項。

哪個使用者需要程式設計存取權？	到	By
人力身分 (IAM Identity Center 中管理的使用者)	使用臨時登入資料來簽署對 AWS CLI、 AWS SDK 或 AWS API 的程式設計要求。	請依照您要使用的介面所提供的指示操作。 如需詳細資訊 AWS CLI，請參閱《使 AWS CLI 用AWS Command Line Interface者指南》 AWS IAM Identity Center中的〈配置使用〉。 如需 AWS SDK、工具和 AWS API，請參閱 AWS SDK 和工具參考指南中的 IAM 身分中心身分驗證。
IAM	使用臨時登入資料來簽署對 AWS CLI、 AWS SDK 或 AWS API 的程式設計要求。	遵循《IAM 使用者指南》中的〈將臨時登入資料搭配 AWS 資源使用〉中的指示
IAM	(不建議使用) 使用長期認證來簽署對 AWS CLI、 AWS SDK 或 AWS API 的程式設計要求。	請依照您要使用的介面所提供的指示操作。 如需相關資訊 AWS CLI，請參閱使用指南中的使用 IAM 使用者登入資料進行驗證。AWS Command Line Interface 對於 AWS SDK 和工具，請參閱 AWS SDK 和工具參考指南中的使用長期憑據進行身份驗證。 如需 AWS API，請參閱 IAM 使用者指南中的管理 IAM 使用者的存取金鑰。