管理您的 資源之存取許可的概觀 - 適用於 SQL 應用程式的 Amazon Kinesis Data Analytics 開發人員指南
資源與操作了解資源所有權管理資源存取指定政策元素:動作、效果和委託人在政策中指定條件

針對新專案,我們建議您優先選擇新的 Managed Service for Apache Flink Studio,而非 Kinesis Data Analytics for SQL 應用程式。Managed Service for Apache Flink Studio 易於使用且具備進階分析功能,可讓您在幾分鐘內建置複雜的串流處理應用程式。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理您的 資源之存取許可的概觀

警告

針對新專案,我們建議您優先選擇新的 Managed Service for Apache Flink Studio,而非 for SQL 應用程式。Managed Service for Apache Flink Studio 易於使用且具備進階分析功能,可讓您在幾分鐘內建置複雜的串流處理應用程式。

若要提供存取權,請新增權限至您的使用者、群組或角色:

  • 使用者和群組位於 AWS IAM Identity Center:

    建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

  • 透過身分提供者在 IAM 中管理的使用者:

    建立聯合身分的角色。請按照 IAM 使用者指南為第三方身分提供者 (聯合) 建立角色 中的指示進行操作。

  • IAM 使用者:

注意

帳戶管理員 (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參《IAM 使用者指南》中的 IAM 最佳實務

資源與操作

在 中,主要的資源是應用程式。在政策中,您使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。

這些資源都有與其相關的唯一 Amazon Resource Name (ARN),如下表所示。

資源類型 ARN 格式
應用程式

arn:aws:kinesisanalytics:region:account-id:application/application-name

提供一組用於處理資源的操作。如需可用操作的清單,請參閱 動作

了解資源所有權

無論是誰建立資源,都 AWS 帳戶 擁有在帳戶中建立的資源。具體來說,資源擁有者是驗證資源建立請求的主體實體 (即根帳戶、使用者或 IAM 角色) 的主體實體的。 AWS 帳戶 下列範例說明其如何運作:

  • 如果您使用的 root 帳號憑證 AWS 帳戶 來建立應用程式,您 AWS 帳戶 就是資源的擁有者。(在 中,資源即應用程式。)

  • 如果您在您的中建立使用者, AWS 帳戶 並授與建立應用程式的權限給該使用者,則該使用者可以建立應用程式。不過 AWS 帳戶,使用者所屬的您擁有應用程式資源。我們強烈建議您將許可授與角色,而非使用者。

  • 如果您在 AWS 帳戶 具有建立應用程式的許可中建立 IAM 角色,任何可以擔任該角色的人都可以建立應用程式。使用者所屬的 AWS 帳戶您擁有應用程式資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節著重討論如何在 ​ 的環境中使用 IAM,它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱 IAM 使用者指南中的什麼是 IAM?。如需 IAM 政策語法和說明的詳細資訊,請參閱 IAM 使用者指南中的 IAM JSON 政策參考

連接至 IAM 身分的政策稱為身分識別型政策 (IAM 政策)。附加至資源的政策稱為以資源為基礎的政策。 僅支援以身分為基礎的政策 (IAM 政策)。

身分類型政策 (IAM 政策)

您可以將政策連接到 IAM 身分。例如,您可以執行下列動作:

  • 將許可政策連接至您帳戶中的使用者或群組:若要授予使用者建立資源 (例如資料表) 的許可,您可以將許可政策附加至使用者或其所屬的群組。

  • 將許可政策連接至角色 (授予跨帳戶許可):您可以將身分識別型許可政策連接至 IAM 角色,藉此授予跨帳戶許可。例如,帳戶 A 中的管理員可以建立角色,將跨帳戶許可授與另一個帳戶 AWS 帳戶 (例如,帳戶 B) 或 Amazon 服務,如下所示:

    1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接到可授與帳戶 A 中資源許可的角色。

    2. 帳戶 A 管理員會將信任政策連接至將帳戶 B 識別為可擔任角色之主體的角色。

    3. 帳戶 B 管理員即可將擔任該角色的許可委派給帳戶 B 中的任何使用者。這麼做可讓帳戶 B 的使用者建立或存取帳戶 A 的資源。如果您想要授予 Amazon 服務擔任該角色的許可,則信任政策中的主體也可以是 Amazon 服務主體。

    如需使用 IAM 來委派許可的相關資訊,請參閱《IAM 使用者指南》中的存取管理

下列是授予許可給 kinesisanalytics:CreateApplication 動作的範例政策,此為建立應用程式的必要動作。

注意

此為簡介範例政策。當您將原則附加至使用者時,使用者將能夠使用 AWS CLI 或 AWS SDK 建立應用程式。但是使用者需要更多許可來配置輸入和輸出。此外,使用者在使用主控台時需要更多許可。後面的章節提供了更多資訊。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1473028104000",
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:CreateApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

如需搭配 使用身分識別型政策的詳細資訊,請參閱 針對 使用以身分為基礎的政策 (IAM 政策) 。如需使用者、群組、角色和許可的詳細資訊,請參閱《IAM 使用者指南》中的身分 (使用者、群組和角色)

資源型政策

其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以附加政策到 S3 儲存貯體,以管理存取許可到該儲存貯體。 不支援以資源為基礎的政策。

指定政策元素:動作、效果和委託人

對於每項資源,該服務都會定義一組 API 操作。定義一組您可在政策中指定的動作,以授予這些 API 操作的許可。為了執行 API 操作,某些 API 操作可能需要多個動作的許可。如需資源與 API 操作的詳細資訊,請參閱 資源與操作動作

以下是最基本的政策元素:

  • 資源:您使用 Amazon Resource Name (ARN) 識別欲套用政策的資源。如需詳細資訊,請參閱 資源與操作

  • 動作:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,您可以使用 create 來允許使用者建立應用程式。

  • 效果:您可以指定使用者請求特定動作時會有什麼效果 (允許或拒絕)。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。

  • 委託人:在身分識別型政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於以資源為基礎的政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於以資源為基礎的政策)。 不支援以資源為基礎的政策。

如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策參考

如需顯示所有 API 操作與其適用資源的資料表,請參閱 API 許可:動作、許可與資源參考

在政策中指定條件

當您授予許可時,可以使用存取政策語言來指定政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱IAM 使用者指南中的條件

欲表示條件,您可以使用預先定義的條件金鑰。沒有 特定的條件金鑰。但是,您可以根據需要使用 AWS寬條件鍵。如需完整的 AWS全金鑰清單,請參閱《IAM 使用者指南》中的條件可用鑰。