Erstellen Sie benutzerdefinierte IAM Richtlinien für Managed Service für Apache Flink Studio-Notebooks - Managed Service für Apache Flink
AWS GlueCloudWatch LogsKinesis-StreamsMSKAmazon-Cluster

Amazon Managed Service für Apache Flink war zuvor als Amazon Kinesis Data Analytics für Apache Flink bekannt.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie benutzerdefinierte IAM Richtlinien für Managed Service für Apache Flink Studio-Notebooks

Normalerweise verwenden Sie verwaltete IAM Richtlinien, um Ihrer Anwendung den Zugriff auf abhängige Ressourcen zu ermöglichen. Wenn Sie eine genauere Kontrolle über die Berechtigungen Ihrer Anwendung benötigen, können Sie eine benutzerdefinierte IAM Richtlinie verwenden. Dieser Abschnitt enthält Beispiele für benutzerdefinierte IAM Richtlinien.

Anmerkung

Ersetzen Sie in den folgenden Richtlinienbeispielen den Platzhaltertext durch die Werte Ihrer Anwendung.

Dieses Thema enthält die folgenden Abschnitte:

AWS Glue

Die folgende Beispielrichtlinie gewährt Berechtigungen für den Zugriff auf eine AWS Glue Datenbank.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GlueTable",
            "Effect": "Allow",
            "Action": [            
                "glue:GetConnection",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:CreateTable",
                "glue:UpdateTable"
            ],
            "Resource": [
                "arn:aws:glue:<region>:<accountId>:connection/*",
                "arn:aws:glue:<region>:<accountId>:table/<database-name>/*",
                "arn:aws:glue:<region>:<accountId>:database/<database-name>",
                "arn:aws:glue:<region>:<accountId>:database/hive",
                "arn:aws:glue:<region>:<accountId>:catalog"
            ]
        },
        {
            "Sid": "GlueDatabase",
            "Effect": "Allow",
            "Action": "glue:GetDatabases",
            "Resource": "*"
        }
    ]
}

CloudWatch Logs

Die folgende Richtlinie gewährt Berechtigungen für den Zugriff auf CloudWatch Protokolle:

{
      "Sid": "ListCloudwatchLogGroups",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "arn:aws:logs:<region>:<accountId>:log-group:*"
      ]
    },
    {
      "Sid": "ListCloudwatchLogStreams",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogStreams"
      ],
      "Resource": [
        "<logGroupArn>:log-stream:*"
      ]
    },
    {
      "Sid": "PutCloudwatchLogs",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "<logStreamArn>"
      ]
    }
Anmerkung

Wenn Sie Ihre Anwendung mithilfe der Konsole erstellen, fügt die Konsole Ihrer Anwendungsrolle die für den Zugriff auf CloudWatch Protokolle erforderlichen Richtlinien hinzu.

Kinesis-Streams

Ihre Anwendung kann einen Kinesis-Stream für eine Quelle oder ein Ziel verwenden. Ihre Anwendung benötigt Leseberechtigungen, um aus einem Quell-Stream zu lesen, und Schreibberechtigungen, um in einen Ziel-Stream zu schreiben.

Die folgende Richtlinie gewährt Berechtigungen zum Lesen aus einem Kinesis-Stream, der als Quelle verwendet wird:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "KinesisShardDiscovery",
      "Effect": "Allow",
      "Action": "kinesis:ListShards",
      "Resource": "*"
    },
    {
      "Sid": "KinesisShardConsumption",
      "Effect": "Allow",
      "Action": [
        "kinesis:GetShardIterator",
        "kinesis:GetRecords",
        "kinesis:DescribeStream",
        "kinesis:DescribeStreamSummary",
        "kinesis:RegisterStreamConsumer",
        "kinesis:DeregisterStreamConsumer"
      ],
      "Resource": "arn:aws:kinesis:<region>:<accountId>:stream/<stream-name>"
    },
    {
      "Sid": "KinesisEfoConsumer",
      "Effect": "Allow",
      "Action": [
        "kinesis:DescribeStreamConsumer",
        "kinesis:SubscribeToShard"
      ],
      "Resource": "arn:aws:kinesis:<region>:<account>:stream/<stream-name>/consumer/*"
    }
  ]
}

Die folgende Richtlinie gewährt Berechtigungen zum Schreiben in einen Kinesis-Stream, der als Ziel verwendet wird:

{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Sid": "KinesisStreamSink",
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord",
                "kinesis:PutRecords",
                "kinesis:DescribeStreamSummary",
                "kinesis:DescribeStream"
            ],
            "Resource": "arn:aws:kinesis:<region>:<accountId>:stream/<stream-name>"
        }
    ]
}

Wenn Ihre Anwendung auf einen verschlüsselten Kinesis-Stream zugreift, müssen Sie zusätzliche Berechtigungen für den Zugriff auf den Stream und den Verschlüsselungsschlüssel des Streams gewähren.

Die folgende Richtlinie gewährt Berechtigungen für den Zugriff auf einen verschlüsselten Quell-Stream und den Verschlüsselungsschlüssel des Streams:

{
      "Sid": "ReadEncryptedKinesisStreamSource",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "<inputStreamKeyArn>"
      ]
    }
    ,

Die folgende Richtlinie gewährt Berechtigungen für den Zugriff auf einen verschlüsselten Ziel-Stream und den Verschlüsselungsschlüssel des Streams:

{
      "Sid": "WriteEncryptedKinesisStreamSink",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey"
      ],
      "Resource": [
        "<outputStreamKeyArn>"
      ]
    }

MSKAmazon-Cluster

Um Zugriff auf einen MSK Amazon-Cluster zu gewähren, gewähren Sie Zugriff auf den des ClustersVPC. Richtlinienbeispiele für den Zugriff auf Amazon VPC finden Sie unter VPCAnwendungsberechtigungen.