Verwenden identitätsbasierter Richtlinien (Richtlinien) IAM für - Entwicklerhandbuch für Amazon Kinesis Data Analytics for SQL Applications
Erforderliche Berechtigungen für die Verwendung der KonsoleVon Amazon verwaltete (vordefinierte) Richtlinien für Auftragsfunktionen Beispiele für vom Kunden verwaltete Richtlinien

Nach reiflicher Überlegung haben wir beschlossen, Amazon Kinesis Data Analytics für SQL Anwendungen in zwei Schritten einzustellen:

1. Ab dem 15. Oktober 2025 können Sie keine neuen Kinesis Data Analytics für SQL Anwendungen erstellen.

2. Wir werden Ihre Anwendungen ab dem 27. Januar 2026 löschen. Sie können Ihre Amazon Kinesis Data Analytics for SQL Applications weder starten noch betreiben. SQLAb diesem Zeitpunkt ist kein Support mehr für Amazon Kinesis Data Analytics verfügbar. Weitere Informationen finden Sie unter Einstellung von Amazon Kinesis Data Analytics for SQL Applications.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden identitätsbasierter Richtlinien (Richtlinien) IAM für

Im Folgenden finden Sie Beispiele für identitätsbasierte Richtlinien, die zeigen, wie ein Kontoadministrator Berechtigungsrichtlinien mit IAM Identitäten (d. h. Benutzern, Gruppen und Rollen) verknüpfen und Berechtigungen zur Ausführung von Vorgängen an Ressourcen gewähren kann.

Wichtig

Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die Grundkonzepte und verfügbaren Optionen zum Verwalten des Zugriffs auf Ihre -Ressourcen erläutert werden. Weitere Informationen finden Sie unter Übersicht über die Verwaltung von Zugriffsberechtigungen für Ihre -Ressourcen.

Dies ist ein Beispiel für eine Berechtigungsrichtlinie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1473028104000",
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:CreateApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Die Richtlinie enthält eine Anweisung:

  • Die erste Anweisung erteilt Berechtigungen für eine Aktion (kinesisanalytics:CreateApplication) auf einer Ressource, die den Amazon-Ressourcennamen (ARN) für die Anwendung verwendet. Das gibt ARN in diesem Fall ein Platzhalterzeichen (*) an, um anzuzeigen, dass die Berechtigung für eine beliebige Ressource erteilt wurde.

Eine Tabelle mit allen API Vorgängen und den Ressourcen, für die sie gelten, finden Sie unter APIBerechtigungen: Referenz zu Aktionen, Berechtigungen und Ressourcen.

Erforderliche Berechtigungen für die Verwendung der Konsole

Sie müssen einem Benutzer die erforderlichen Berechtigungen erteilen, damit dieser mit der Konsole arbeiten kann. Wenn ein Benutzer beispielsweise die Berechtigung zum Erstellen einer Anwendung haben soll, müssen Sie die entsprechenden Berechtigungen erteilen, damit dem Benutzer die Streaming-Quellen im Konto angezeigt werden und der Benutzer in der Konsole die Ein- und Ausgabe konfigurieren kann.

Wir empfehlen Folgendes:

Von Amazon verwaltete (vordefinierte) Richtlinien für Auftragsfunktionen

AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM Richtlinien, die von erstellt und verwaltet werden AWS. Diese von Amazon verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter Von Amazon verwaltete Richtlinien im IAMBenutzerhandbuch.

Die folgenden von Amazon verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuweisen können, sind spezifisch für:

  • AmazonKinesisAnalyticsReadOnly – Erteilt Berechtigungen für Aktionen, mit denen ein Benutzer Anwendungen auflisten und die Eingangs- und Ausgangskonfiguration überprüfen kann. Es gewährt auch Berechtigungen, die es einem Benutzer ermöglichen, eine Liste von Kinesis-Streams und Firehose-Lieferstreams anzuzeigen. Während die Anwendung ausgeführt wird, kann der Benutzer in der Konsole Quelldaten und Ergebnisse von Echtzeitanalysen anzeigen.

     

  • AmazonKinesisAnalyticsFullAccess – Erteilt Berechtigungen für alle Aktionen sowie alle anderen Berechtigungen, mit denen ein Benutzer Anwendungen erstellen und verwalten kann. Beachten Sie jedoch Folgendes:

     

    • Diese Berechtigungen reichen nicht aus, wenn der Benutzer eine neue IAM Rolle in der Konsole erstellen möchte (diese Berechtigungen ermöglichen es dem Benutzer, eine vorhandene Rolle auszuwählen). Wenn Sie möchten, dass der Benutzer eine IAM Rolle in der Konsole erstellen kann, fügen Sie die von IAMFullAccess Amazon verwaltete Richtlinie hinzu.

       

    • Ein Benutzer muss über die Berechtigung für die iam:PassRole Aktion verfügen, um bei der Konfiguration der Anwendung eine IAM Rolle angeben zu können. Diese von Amazon verwaltete Richtlinie gewährt dem Benutzer die Erlaubnis für die iam:PassRole Aktion nur für die IAM Rollen, die mit dem Präfix beginnen. service-role/kinesis-analytics

      Wenn der Benutzer die Anwendung mit einer Rolle konfigurieren möchte, die nicht mit diesem Präfix ausgestattet ist, müssen Sie dem Benutzer zunächst die Benutzerberechtigung zum Ausführen der iam:PassRole-Aktion für diese spezifische Rolle gewähren.

Sie können auch Ihre eigenen benutzerdefinierten IAM Richtlinien erstellen, um Berechtigungen für Aktionen und Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.

Beispiele für vom Kunden verwaltete Richtlinien

In den Beispielen in diesem Abschnitt finden Sie eine Gruppe von Beispielrichtlinien, die Sie Benutzern zuweisen können. Wenn Sie mit dem Erstellen von Richtlinien noch nicht vertraut sind, sollten Sie zunächst einen Benutzer in Ihrem Konto erstellen. Fügen Sie dem Benutzer dann die Richtlinien nacheinander an. Orientieren Sie sich hierbei an den in diesem Abschnitt beschriebenen Schritten. Während Sie dem Benutzer die Richtlinien zuweisen, können Sie dann die Konsole verwenden, um die Auswirkungen der einzelnen Richtlinien zu überprüfen.

Zunächst verfügt der Benutzer über keine Berechtigungen und kann in der Konsole keine Aktionen ausführen. Während Sie dem Benutzer Richtlinien anfügen, können Sie überprüfen, ob der Benutzer die verschiedenen Aktionen in der Konsole ausführen kann. 

Wir empfehlen die Verwendung von zwei Browserfenstern. In einem Fenster erstellen Sie den Benutzer und erteilen Berechtigungen. Melden Sie sich in der anderen Version AWS Management Console mit den Anmeldeinformationen des Benutzers an und überprüfen Sie die Berechtigungen, sobald Sie sie gewähren.

Beispiele, die zeigen, wie Sie eine IAM Rolle erstellen, die Sie als Ausführungsrolle für Ihre Anwendung verwenden können, finden Sie unter Creating IAM Roles im IAMBenutzerhandbuch.

Schritt 1: Einen IAM Benutzer erstellen

Zunächst müssen Sie einen Benutzer erstellen, den Benutzer zu einer IAM Gruppe mit Administratorberechtigungen hinzufügen und dann dem von Ihnen erstellten Benutzer Administratorrechte gewähren. Sie können dann AWS mit einem speziellen Benutzer URL und den Anmeldeinformationen dieses Benutzers darauf zugreifen.

Anweisungen finden Sie im Benutzerhandbuch unter Erstellen Ihrer ersten IAM Benutzer- und Administratorgruppe. IAM

Schritt 2: Gewähren Sie dem Benutzer Berechtigungen für Aktionen, die nicht spezifisch für ihn sind

Gewähren Sie zunächst einem Benutzer die Berechtigung für alle Aktionen, die nicht spezifisch für ihn sind, die der Benutzer jedoch bei der Arbeit mit Anwendungen benötigt. Dazu gehören Berechtigungen für die Arbeit mit Streams (Amazon Kinesis Data Streams Streams-Aktionen, Amazon Data Firehose-Aktionen) und Berechtigungen für CloudWatch Aktionen. Weisen Sie die dem Benutzer die folgenden Richtlinien zu.

Sie müssen die Richtlinie aktualisieren, indem Sie einen IAM Rollennamen angeben, für den Sie die iam:PassRole Berechtigung erteilen möchten, oder ein Platzhalterzeichen (*) angeben, das alle Rollen kennzeichnet. IAM Dies ist keine sichere Methode. Möglicherweise haben Sie während dieses Tests jedoch keine bestimmte IAM Rolle erstellt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kinesis:CreateStream",
                "kinesis:DeleteStream",
                "kinesis:DescribeStream",
                "kinesis:ListStreams",
                "kinesis:PutRecord",
                "kinesis:PutRecords"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "firehose:DescribeDeliveryStream",
                "firehose:ListDeliveryStreams"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "logs:GetLogEvents",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicyVersions",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/service-role/role-name"
        }
    ]
}

Schritt 3: Gewähren der Berechtigung zum Anzeigen einer Liste der Anwendungen und der zugehörigen Details

Mit der folgenden Richtlinie werden einen Benutzer die folgenden Berechtigungen erteilt:

  • Die Berechtigung für die kinesisanalytics:ListApplications-Aktion, mit der der Benutzer eine Liste von Anwendungen anzeigen kann. Dies ist ein Service Level API Call, und deshalb geben Sie „*“ als Resource Wert an.

  • Die Berechtigung für die kinesisanalytics:DescribeApplication-Aktion, mit der Informationen zu beliebigen Anwendungen abgerufen werden können.

Fügen Sie dem Benutzer diese Richtlinie hinzu. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:ListApplications"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:DescribeApplication"
            ],
            "Resource": "arn:aws:kinesisanalytics:aws-region:aws-account-id:application/*"
        }
    ]
}

Überprüfen Sie diese Berechtigungen, indem Sie sich unter Verwendung von Anmeldeinformationen des IAM-Benutzers an der Konsole anmelden.

Schritt 4: Erteilen einer Berechtigung zum Starten einer bestimmten Anwendung

Wenn der Benutzer eine der vorhandenen -Anwendungen starten soll, fügen Sie dem Benutzer die folgende Richtlinie an. Die Richtlinie stellt die Berechtigung zum Ausführen der kinesisanalytics:StartApplication-Aktion bereit. Sie müssen die Richtlinie aktualisieren, indem Sie Ihre Konto-ID, AWS Region und Anwendungsnamen angeben. 

{
    "Version": "2012-10-17",
    "Statement": [
               {
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:StartApplication"                
            ],
            "Resource": "arn:aws:kinesisanalytics:aws-region:aws-account-id:application/application-name"
        }
    ]
}

Schritt 5: Erteilen der Berechtigung zum Erstellen einer -Anwendung

Wenn der Benutzer eine -Anwendung erstellen soll, können Sie ihm die folgende Richtlinie anfügen. Sie müssen die Richtlinie aktualisieren und eine AWS Region, Ihre Konto-ID und entweder einen bestimmten Anwendungsnamen, den der Benutzer erstellen soll, oder ein „*“ angeben, damit der Benutzer einen beliebigen Anwendungsnamen angeben kann (und somit mehrere Anwendungen erstellen).

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1473028104000",
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:CreateApplication"
            ],
            "Resource": [
                "*"
            ]
        },
     
        {
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:StartApplication",
                "kinesisanalytics:UpdateApplication",
                "kinesisanalytics:AddApplicationInput",
                "kinesisanalytics:AddApplicationOutput"
            ],
            "Resource": "arn:aws:kinesisanalytics:aws-region:aws-account-id:application/application-name"
        }
    ]
}

Schritt 6: Berechtigen der Anwendung zur Verwendung der Lambda-Vorverarbeitung

Wenn die Anwendung die Lambda-Vorverarbeitung verwenden können soll, fügen Sie der Rolle die folgende Richtlinie an. 

     {
       "Sid": "UseLambdaFunction",
       "Effect": "Allow",
       "Action": [
           "lambda:InvokeFunction",
           "lambda:GetFunctionConfiguration"
       ],
       "Resource": "<FunctionARN>"
   }