AWS Data Pipeline ist für Neukunden nicht mehr verfügbar. Bestandskunden von AWS Data Pipeline können den Service weiterhin wie gewohnt nutzen. [Weitere Informationen](https://aws.amazon.com/blogs/big-data/migrate-workloads-from-aws-data-pipeline/)
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identity and Access Management für AWS Data Pipeline
Mit Ihren Sicherheitsanmeldeinformationen identifizieren Sie sich bei den Services in AWS und erhalten Berechtigungen zur Verwendung von AWS-Ressourcen, wie etwa Ihre Pipelines. Sie können die Funktionen von AWS Data Pipeline und AWS Identity and Access Management (IAM) verwenden, um anderen Benutzern den Zugriff auf Ihre AWS Data Pipeline Ressourcen zu ermöglichen AWS Data Pipeline , ohne Ihre Sicherheitsanmeldeinformationen weiterzugeben.
In Unternehmen können bestimmte Pipelines für mehrere Mitarbeiter freigegeben werden, damit diese gemeinsam damit arbeiten können. Allerdings sollten in diesem Fall Maßnahmen wie die folgenden ergriffen werden:
+ Steuern Sie, welche Benutzer auf bestimmte Pipelines zugreifen können
+ Schützen einer Produktions-Pipeline vor versehentlichen Änderungen
+ Erlauben des Lesezugriffs von Auditoren auf Pipelines und gleichzeitiges Verhindern von Änderungen
AWS Data Pipeline ist in AWS Identity and Access Management (IAM) integriert, das eine Vielzahl von Funktionen bietet:
+ Erstellen Sie Benutzer und Gruppen in Ihrem AWS-Konto.
+ Teilen Sie Ihre AWS Ressourcen ganz einfach zwischen den Benutzern in Ihrem AWS-Konto.
+ Weisen Sie jedem Benutzer eindeutige Sicherheitsanmeldedaten zu.
+ Kontrollieren Sie den Zugriff jedes Benutzers auf Dienste und Ressourcen.
+ Holen Sie sich eine einzige Rechnung für alle Benutzer in Ihrem AWS-Konto.
Durch die Verwendung von IAM mit können Sie steuern AWS Data Pipeline, ob Benutzer in Ihrer Organisation eine Aufgabe mithilfe bestimmter API-Aktionen ausführen können und ob sie bestimmte AWS-Ressourcen verwenden können. Sie können IAM-Richtlinien verwenden, die auf Pipeline-Tags und Worker-Gruppen basieren, um Ihre Pipelines mit anderen Benutzern zu teilen und deren Zugriffsebene zu kontrollieren.
**Topics**
+ [IAM-Richtlinien für AWS Data Pipeline](dp-iam-resourcebased-access.md)
+ [Beispielrichtlinien für AWS Data Pipeline](dp-example-tag-policies.md)
+ [IAM-Rollen für AWS Data Pipeline](dp-iam-roles.md)
# IAM-Richtlinien für AWS Data Pipeline
Standardmäßig sind IAM-Entitäten nicht berechtigt, AWS-Ressourcen zu erstellen oder zu ändern. Damit IAM-Entitäten Ressourcen erstellen oder ändern und Aufgaben ausführen können, müssen Sie IAM-Richtlinien erstellen, die IAM-Entitäten die Erlaubnis erteilen, die spezifischen Ressourcen und API-Aktionen zu verwenden, die sie benötigen, und diese Richtlinien dann den IAM-Entitäten zuordnen, für die diese Berechtigungen erforderlich sind.
Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert. *Allgemeine Informationen zu IAM-Richtlinien finden Sie unter [Berechtigungen und Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) im IAM-Benutzerhandbuch.* Weitere Informationen zum Verwalten und Erstellen von benutzerdefinierten IAM-Richtlinien finden Sie unter [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
**Topics**
+ [Richtliniensyntax](#dp-policy-syntax)
+ [Steuern des Zugriffs auf Pipelines mithilfe von Tags](#dp-control-access-tags)
+ [Steuern des Zugriffs auf Pipelines mithilfe von Worker-Gruppen](#dp-control-access-workergroup)
## Richtliniensyntax
Eine IAM-Richtlinie ist ein JSON-Dokument, das eine oder mehrere Anweisungen enthält. Jede Anweisung ist folgendermaßen strukturiert:
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"*",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Eine Anweisung in einer Richtlinie besteht aus folgenden Elementen:
+ **Effect:** Der *effect*-Wert kann `Allow` oder `Deny` lauten. Standardmäßig sind IAM-Entitäten nicht berechtigt, Ressourcen und API-Aktionen zu verwenden, sodass alle Anfragen abgelehnt werden. Dieser Standardwert kann durch eine explizite Zugriffserlaubnis überschrieben werden. Eine explizite Zugriffsverweigerung überschreibt jedwede Zugriffserlaubnis.
+ **Action**: Mit *action* wird die API-Aktion spezifiziert, für die Sie Berechtigungen erteilen oder verweigern. Eine Liste der Aktionen für finden Sie AWS Data Pipeline unter [Aktionen](https://docs.aws.amazon.com/datapipeline/latest/APIReference/API_Operations.html) in der *AWS Data Pipeline API-Referenz.*
+ **Resource**: Die von einer Aktion betroffene Ressource. Der einzige hier zulässige Wert lautet `"*"`.
+ **Condition**: Bedingungen sind optional. Mit ihrer Hilfe können Sie bestimmen, wann Ihre Richtlinie wirksam wird.
AWS Data Pipeline implementiert die AWS-weiten Kontextschlüssel (siehe [Verfügbare Schlüssel für Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#AvailableKeys)) sowie die folgenden dienstspezifischen Schlüssel.
+ `datapipeline:PipelineCreator`— Um dem Benutzer, der die Pipeline erstellt hat, Zugriff zu gewähren. Ein Beispiel hierzu finden Sie unter [Gewähren des vollen Zugriffs für Pipeline-Eigentümer](dp-example-tag-policies.md#ex3).
+ `datapipeline:Tag`— Um Zugriff auf der Grundlage von Pipeline-Tagging zu gewähren. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Pipelines mithilfe von Tags](#dp-control-access-tags).
+ `datapipeline:workerGroup`— Um Zugriff auf der Grundlage des Namens der Worker-Gruppe zu gewähren. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Pipelines mithilfe von Worker-Gruppen](#dp-control-access-workergroup).
## Steuern des Zugriffs auf Pipelines mithilfe von Tags
Sie können IAM-Richtlinien erstellen, die auf die Tags für Ihre Pipeline verweisen. Dadurch lässt sich mithilfe von Pipeline-Tags Folgendes durchführen:
+ Gewähren des Lesezugriffs auf eine Pipeline
+ read/write Zugriff auf eine Pipeline gewähren
+ Blockieren des Zugriffs auf eine Pipeline
Nehmen wir an, dass es in einem Unternehmen zwei Pipeline-Umgebungen (Produktion und Entwicklung) und für jede Umgebung eine IAM-Gruppe gibt. Für Pipelines in der Produktionsumgebung gewährt der Manager Benutzern in der IAM-Produktionsgruppe read/write Zugriff, Benutzern in der Entwickler-IAM-Gruppe jedoch nur Lesezugriff. Für Pipelines in der Entwicklungsumgebung gewährt der Manager read/write Zugriff sowohl auf die Produktions- als auch auf die Entwickler-IAM-Gruppe.
Um dieses Szenario zu erreichen, kennzeichnet der Manager die Produktionspipelines mit dem Tag „environment=production“ und fügt der Entwickler-IAM-Gruppe die folgende Richtlinie hinzu. Die erste Anweisung gewährt Lesezugriff auf alle Pipelines. Die zweite Anweisung gewährt read/write Zugriff auf Pipelines, die nicht über das Tag „environment=production“ verfügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datapipeline:Describe*",
"datapipeline:ListPipelines",
"datapipeline:GetPipelineDefinition",
"datapipeline:QueryObjects"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "datapipeline:*",
"Resource": "*",
"Condition": {
"StringNotEquals": {"datapipeline:Tag/environment": "production"}
}
}
]
}
```
------
Darüber hinaus weist der Manager der IAM-Produktionsgruppe die folgende Richtlinie zu. Diese Anweisung gewährt vollständigen Zugriff auf alle Pipelines.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datapipeline:*",
"Resource": "*"
}
]
}
```
------
Weitere Beispiele finden Sie unter [Gewähren des Lesezugriffs für Benutzer basierend auf einem Tag](dp-example-tag-policies.md#ex1) und [Gewähren des vollständigen Zugriffs für Benutzer basierend auf einem Tag](dp-example-tag-policies.md#ex2).
## Steuern des Zugriffs auf Pipelines mithilfe von Worker-Gruppen
Sie können IAM-Richtlinien erstellen, die auf Namen von Workergruppen verweisen.
Nehmen wir an, dass es in einem Unternehmen zwei Pipeline-Umgebungen (Produktion und Entwicklung) und für jede Umgebung eine IAM-Gruppe gibt. Außerdem sind drei Datenbankserver mit Task Runner-Anwendungen für die Produktions-, die Vorproduktions- und die Entwicklungsumgebung vorhanden. Der Manager möchte sicherstellen, dass Benutzer in der IAM-Produktionsgruppe Pipelines erstellen können, die Aufgaben an Produktionsressourcen weiterleiten, und dass Benutzer in der IAM-Entwicklungsgruppe Pipelines erstellen können, die Aufgaben sowohl an Vorproduktions- als auch an Entwicklerressourcen weiterleiten.
Um dies zu erreichen, installiert er Task Runner auf den Produktionsressourcen mit den Anmeldeinformationen der Produktionsgruppe und weist `workerGroup` den Wert "prodresource" zu. Außerdem installiert der Manager Task Runner auf den Entwicklungsressourcen mit den Anmeldeinformationen der Entwicklungsgruppe und weist `workerGroup` die Werte "pre-production" und "development" zu. Der Manager weist der Entwickler-IAM-Gruppe die folgende Richtlinie zu, um den Zugriff auf „prodresource“ -Ressourcen zu blockieren. Die erste Anweisung gewährt Lesezugriff auf alle Pipelines. Die zweite Anweisung gewährt read/write Zugriff auf Pipelines, wenn der Name der Worker-Gruppe das Präfix „dev“ oder „pre-prod“ hat.
Darüber hinaus weist der Manager der IAM-Produktionsgruppe die folgende Richtlinie zu, um Zugriff auf „prodresource“ -Ressourcen zu gewähren. Die erste Anweisung gewährt Lesezugriff auf alle Pipelines. Die zweite Anweisung gewährt read/write Zugriff, wenn der Name der Workergruppe das Präfix „prod“ hat.
# Beispielrichtlinien für AWS Data Pipeline
Die folgenden Beispiele zeigen, wie Sie Benutzern vollständigen oder eingeschränkten Zugriff auf Pipelines gewähren.
**Topics**
+ [Beispiel 1: Gewähren des Lesezugriffs für Benutzer basierend auf einem Tag](#ex1)
+ [Beispiel 2: Gewähren des vollständigen Zugriffs für Benutzer basierend auf einem Tag](#ex2)
+ [Beispiel 3: Gewähren des vollen Zugriffs für Pipeline-Eigentümer](#ex3)
+ [Beispiel 4: Gewähren Sie Benutzern Zugriff auf die Konsole AWS Data Pipeline](#example4-grant-users-access-to-console)
## Beispiel 1: Gewähren des Lesezugriffs für Benutzer basierend auf einem Tag
Die folgende Richtlinie ermöglicht es Benutzern, die schreibgeschützten AWS Data Pipeline API-Aktionen zu verwenden, jedoch nur mit Pipelines, die das Tag „environment=production“ haben.
Die ListPipelines API-Aktion unterstützt keine Tag-basierte Autorisierung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datapipeline:Describe*",
"datapipeline:GetPipelineDefinition",
"datapipeline:ValidatePipelineDefinition",
"datapipeline:QueryObjects"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"datapipeline:Tag/environment": "production"
}
}
}
]
}
```
------
## Beispiel 2: Gewähren des vollständigen Zugriffs für Benutzer basierend auf einem Tag
Die folgende Richtlinie ermöglicht es Benutzern, alle AWS Data Pipeline API-Aktionen zu verwenden, mit Ausnahme von ListPipelines, aber nur mit Pipelines, die das Tag „environment=test“ haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datapipeline:*"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"datapipeline:Tag/environment": "test"
}
}
}
]
}
```
------
## Beispiel 3: Gewähren des vollen Zugriffs für Pipeline-Eigentümer
Die folgende Richtlinie ermöglicht es Benutzern, alle AWS Data Pipeline API-Aktionen zu verwenden, jedoch nur mit ihren eigenen Pipelines.
## Beispiel 4: Gewähren Sie Benutzern Zugriff auf die Konsole AWS Data Pipeline
Die folgende Richtlinie gestattet Benutzern, mit der AWS Data Pipeline -Konsole eine Pipeline zu erstellen und zu verwalten.
Diese Richtlinie umfasst die Aktion für `PassRole` Berechtigungen für bestimmte Ressourcen, die an `roleARN` die jeweiligen AWS Data Pipeline Anforderungen gebunden sind. Weitere Informationen zur identitätsbasierten (IAM) `PassRole` -Berechtigung finden Sie im Blogbeitrag Granting Permission [to Launch EC2 Instances with IAM Roles (Permission](https://aws.amazon.com/blogs/security/granting-permission-to-launch-ec2-instances-with-iam-roles-passrole-permission/)). PassRole
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"cloudwatch:*",
"datapipeline:*",
"dynamodb:DescribeTable",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:ListInstance*",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:GetInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListRoles",
"rds:DescribeDBInstances",
"rds:DescribeDBSecurityGroups",
"redshift:DescribeClusters",
"redshift:DescribeClusterSecurityGroups",
"s3:List*",
"sns:ListTopics"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/DataPipelineDefaultResourceRole",
"arn:aws:iam::*:role/DataPipelineDefaultRole"
]
}
]
}
```
------
# IAM-Rollen für AWS Data Pipeline
AWS Data Pipeline verwendet AWS Identity and Access Management Rollen. Die den IAM-Rollen zugewiesenen Berechtigungsrichtlinien bestimmen, welche Aktionen AWS Data Pipeline und Ihre Anwendungen ausführen können und auf welche AWS Ressourcen sie zugreifen können. Weitere Informationen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) im *IAM-Benutzerhandbuch*.
AWS Data Pipeline erfordert zwei IAM-Rollen:
+ **Die Pipeline-Rolle** steuert AWS Data Pipeline den Zugriff auf Ihre AWS-Ressourcen. In Pipeline-Objektdefinitionen gibt das `role` Feld diese Rolle an.
+ **Die EC2-Instance-Rolle** steuert den Zugriff, den Anwendungen, die auf EC2-Instances ausgeführt werden, einschließlich der EC2-Instances in Amazon EMR-Clustern, auf Ressourcen haben. AWS In Pipeline-Objektdefinitionen gibt das `resourceRole` Feld diese Rolle an.
**Wichtig**
Wenn Sie vor dem 3. Oktober 2022 mithilfe der AWS Data Pipeline Konsole mit Standardrollen eine Pipeline AWS Data Pipeline erstellt haben, haben Sie die `DataPipelineDefaultRole` für Sie erstellt und die `AWSDataPipelineRole` verwaltete Richtlinie an die Rolle angehängt. Seit dem 3. Oktober 2022 ist die `AWSDataPipelineRole` verwaltete Richtlinie veraltet und die Pipeline-Rolle muss für eine Pipeline angegeben werden, wenn Sie die Konsole verwenden.
Wir empfehlen Ihnen, die vorhandenen Pipelines zu überprüfen und festzustellen, ob die mit der Pipeline verknüpft `DataPipelineDefaultRole` ist und ob die mit dieser `AWSDataPipelineRole` Rolle verknüpft ist. Falls ja, überprüfen Sie den Zugriff, den diese Richtlinie gewährt, um sicherzustellen, dass er Ihren Sicherheitsanforderungen entspricht. Fügen Sie nach Bedarf die mit dieser Rolle verknüpften Richtlinien und Richtlinienerklärungen hinzu, aktualisieren oder ersetzen Sie sie. Alternativ können Sie eine Pipeline aktualisieren, um eine Rolle zu verwenden, die Sie mit unterschiedlichen Berechtigungsrichtlinien erstellt haben.
## Beispiel für Berechtigungsrichtlinien für AWS Data Pipeline Rollen
Jeder Rolle sind eine oder mehrere Berechtigungsrichtlinien zugeordnet, die festlegen, auf welche AWS Ressourcen die Rolle zugreifen kann und welche Aktionen die Rolle ausführen kann. Dieses Thema enthält ein Beispiel für eine Berechtigungsrichtlinie für die Pipeline-Rolle. Es enthält auch den Inhalt der`AmazonEC2RoleforDataPipelineRole`, der verwalteten Richtlinie für die standardmäßige EC2-Instance-Rolle,`DataPipelineDefaultResourceRole`.
### Beispiel für eine Richtlinie über Berechtigungen für Pipeline-Rollen
Die folgende Beispielrichtlinie ist darauf ausgelegt, wichtige Funktionen zuzulassen, die den Betrieb einer Pipeline mit Amazon EC2- und Amazon EMR-Ressourcen AWS Data Pipeline erfordern. Es bietet auch Berechtigungen für den Zugriff auf andere AWS Ressourcen wie Amazon Simple Storage Service und Amazon Simple Notification Service, die für viele Pipelines erforderlich sind. Wenn die in einer Pipeline definierten Objekte nicht die Ressourcen eines AWS Dienstes benötigen, empfehlen wir dringend, dass Sie die Zugriffsberechtigungen für diesen Service entfernen. Wenn Ihre Pipeline beispielsweise keine Aktion definiert [Dynamo-Knoten DBData](dp-object-dynamodbdatanode.md) oder die [SnsAlarm](dp-object-snsalarm.md) Aktion nicht verwendet, empfehlen wir Ihnen, die Allow-Anweisungen für diese Aktionen zu entfernen.
+ `111122223333`Ersetzen Sie es durch Ihre AWS Konto-ID.
+ `NameOfDataPipelineRole`Ersetzen Sie es durch den Namen der Pipeline-Rolle (die Rolle, der diese Richtlinie zugeordnet ist).
+ Durch `NameOfDataPipelineResourceRole` den Namen der EC2-Instanzrolle ersetzen.
+ `us-west-1`Ersetzen Sie durch die entsprechende Region für Ihre Anwendung.
### Verwaltete Standardrichtlinie für die EC2-Instance-Rolle
Der Inhalt von `AmazonEC2RoleforDataPipelineRole` ist unten dargestellt. Dies ist die verwaltete Richtlinie, die der Standardressourcenrolle für AWS Data Pipeline, zugeordnet ist`DataPipelineDefaultResourceRole`. Wenn Sie eine Ressourcenrolle für Ihre Pipeline definieren, empfehlen wir, mit dieser Berechtigungsrichtlinie zu beginnen und dann Berechtigungen für AWS Dienstaktionen zu entfernen, die nicht erforderlich sind.
Version 3 der Richtlinie wird angezeigt. Dies ist die neueste Version zum Zeitpunkt der Erstellung dieses Artikels. Zeigen Sie die neueste Version der Richtlinie mithilfe der IAM-Konsole an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"cloudwatch:*",
"datapipeline:*",
"dynamodb:*",
"ec2:Describe*",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:Describe*",
"elasticmapreduce:ListInstance*",
"elasticmapreduce:ModifyInstanceGroups",
"rds:Describe*",
"redshift:DescribeClusters",
"redshift:DescribeClusterSecurityGroups",
"s3:*",
"sdb:*",
"sns:*",
"sqs:*"
],
"Resource": ["*"]
}]
}
```
------
## IAM-Rollen für Rollenberechtigungen erstellen AWS Data Pipeline und bearbeiten
Gehen Sie wie folgt vor, um Rollen für die AWS Data Pipeline Verwendung der IAM-Konsole zu erstellen. Der Prozess besteht aus zwei Schritten. Zunächst erstellen Sie eine Berechtigungsrichtlinie, die Sie der Rolle zuordnen möchten. Als Nächstes erstellen Sie die Rolle und fügen die Richtlinie hinzu. Nachdem Sie eine Rolle erstellt haben, können Sie die Berechtigungen der Rolle ändern, indem Sie Berechtigungsrichtlinien anhängen oder trennen.
**Anmerkung**
Wenn Sie wie unten beschrieben Rollen für die AWS Data Pipeline Verwendung der Konsole erstellen, erstellt IAM die entsprechenden Vertrauensrichtlinien, die für die Rolle erforderlich sind, und fügt sie an.
**Um eine Berechtigungsrichtlinie zur Verwendung mit einer Rolle für zu erstellen AWS Data Pipeline**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen**.
1. Wählen Sie den Tab **JSON**.
1. Wenn Sie eine Pipeline-Rolle erstellen, kopieren Sie den Inhalt des Richtlinienbeispiels[Beispiel für eine Richtlinie über Berechtigungen für Pipeline-Rollen](#dp-role-example-policy), fügen Sie ihn ein und bearbeiten Sie ihn entsprechend Ihren Sicherheitsanforderungen. Wenn Sie eine benutzerdefinierte EC2-Instanzrolle erstellen, tun Sie alternativ dasselbe für das Beispiel unter[Verwaltete Standardrichtlinie für die EC2-Instance-Rolle](#dp-resource-role-example-policy).
1. Wählen Sie **Richtlinie prüfen**.
1. **Geben Sie beispielsweise einen Namen für die Richtlinie und optional eine **Beschreibung `MyDataPipelineRolePolicy`** ein und wählen Sie dann Create policy aus.**
1. Notieren Sie sich den Namen der Richtlinie. Sie benötigen ihn, wenn Sie Ihre Rolle erstellen.
**Um eine IAM-Rolle zu erstellen für AWS Data Pipeline**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen** aus.
1. **Wählen Sie unter Anwendungsfall** auswählen die Option **Data Pipeline** aus.
1. Führen **Sie unter Wählen Sie Ihren Anwendungsfall** aus eine der folgenden Aktionen aus:
+ Wählen Sie`Data Pipeline`, ob Sie eine Pipeline-Rolle erstellen möchten.
+ Wählen Sie`EC2 Role for Data Pipeline`, ob Sie eine Ressourcenrolle erstellen möchten.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Wenn die Standardrichtlinie für aufgeführt AWS Data Pipeline ist, fahren Sie mit den folgenden Schritten fort, um die Rolle zu erstellen, und bearbeiten Sie sie dann gemäß den Anweisungen im nächsten Verfahren. Geben Sie andernfalls den Namen der Richtlinie ein, die Sie im obigen Verfahren erstellt haben, und wählen Sie sie dann aus der Liste aus.
1. Wählen Sie **Weiter: Stichwörter** aus, geben Sie alle Tags ein, die Sie der Rolle hinzufügen möchten, und wählen Sie dann **Weiter: Überprüfen** aus.
1. **Geben Sie beispielsweise einen Namen für die Rolle und optional eine **Beschreibung `MyDataPipelineRole`** ein und wählen Sie dann Rolle erstellen aus.**
**Um eine Berechtigungsrichtlinie für eine IAM-Rolle anzuhängen oder zu trennen für AWS Data Pipeline**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. **Wählen Sie im Navigationsbereich Rollen aus**
1. Geben Sie im Suchfeld den Namen der Rolle ein, die Sie bearbeiten möchten, z. B. **DataPipelineDefaultRole**oder, und wählen Sie **MyDataPipelineRole**dann den **Rollennamen aus der Liste** aus.
1. Gehen Sie auf der Registerkarte **Berechtigungen** wie folgt vor:
+ Um eine Berechtigungsrichtlinie zu trennen, klicken Sie unter **Berechtigungsrichtlinien** auf die Schaltfläche Entfernen ganz rechts neben dem Richtlinieneintrag. Wählen Sie **Trennen**, wenn Sie zur Bestätigung aufgefordert werden.
+ Um eine zuvor erstellte Richtlinie anzuhängen, wählen Sie **Richtlinien anhängen**. Geben Sie im Suchfeld den Namen der Richtlinie ein, die Sie bearbeiten möchten, wählen Sie sie aus der Liste aus und wählen Sie dann **Richtlinie anhängen** aus.
## Rollen für eine bestehende Pipelines ändern
Wenn Sie einer Pipeline eine andere Pipeline-Rolle oder Ressourcenrolle zuweisen möchten, können Sie den Architekt-Editor in der AWS Data Pipeline Konsole verwenden.
**Um die einer Pipeline zugewiesenen Rollen mithilfe der Konsole zu bearbeiten**
1. Öffnen Sie die AWS Data Pipeline Konsole unter [https://console.aws.amazon.com/datapipeline/](https://console.aws.amazon.com/datapipeline/).
1. Wählen Sie die Pipeline aus der Liste aus und klicken Sie dann auf **Aktionen**, **Bearbeiten**.
1. Wählen Sie im rechten Bereich des Architect-Editors die Option **Andere** aus.
1. Wählen Sie aus den Listen „****Ressourcenrolle****“ und „Rolle“ die Rollen aus AWS Data Pipeline , denen Sie zuweisen möchten, und klicken Sie dann auf **Speichern**.