AWS Data Pipeline ya no está disponible para nuevos clientes. Los clientes actuales de AWS Data Pipeline pueden seguir utilizando el servicio con normalidad. [Más información](https://aws.amazon.com/blogs/big-data/migrate-workloads-from-aws-data-pipeline/)
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Ejemplos de políticas para AWS Data Pipeline
Los siguientes ejemplos muestran cómo conceder a los usuarios acceso completo o restringido a canalizaciones.
**Topics**
+ [Ejemplo 1: Otorgar a los usuarios acceso de solo lectura basado en una etiqueta](#ex1)
+ [Ejemplo 2: Otorgar a los usuarios acceso completo basado en una etiqueta](#ex2)
+ [Ejemplo 3: Otorgar acceso completo al propietario de la canalización](#ex3)
+ [Ejemplo 4: conceder a los usuarios acceso a la consola AWS Data Pipeline](#example4-grant-users-access-to-console)
## Ejemplo 1: Otorgar a los usuarios acceso de solo lectura basado en una etiqueta
La siguiente política permite a los usuarios usar las acciones de la AWS Data Pipeline API de solo lectura, pero solo con las canalizaciones que tengan la etiqueta «environment=production».
La acción de la ListPipelines API no admite la autorización basada en etiquetas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datapipeline:Describe*",
"datapipeline:GetPipelineDefinition",
"datapipeline:ValidatePipelineDefinition",
"datapipeline:QueryObjects"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"datapipeline:Tag/environment": "production"
}
}
}
]
}
```
------
## Ejemplo 2: Otorgar a los usuarios acceso completo basado en una etiqueta
La siguiente política permite a los usuarios utilizar todas las acciones de la AWS Data Pipeline API, con la excepción de las canalizaciones que tengan la etiqueta «environment=test» ListPipelines, pero solo con ellas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datapipeline:*"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"datapipeline:Tag/environment": "test"
}
}
}
]
}
```
------
## Ejemplo 3: Otorgar acceso completo al propietario de la canalización
La siguiente política permite a los usuarios utilizar todas las acciones de la AWS Data Pipeline API, pero solo con sus propias canalizaciones.
## Ejemplo 4: conceder a los usuarios acceso a la consola AWS Data Pipeline
La siguiente política permite a los usuarios crear y administrar una canalización mediante la consola de AWS Data Pipeline .
Esta política incluye la acción relativa a `PassRole` los permisos para recursos específicos vinculados a las `roleARN` AWS Data Pipeline necesidades de cada uno. Para obtener más información sobre el `PassRole` permiso basado en la identidad (IAM), consulte la entrada del blog sobre la [concesión de permisos para lanzar instancias de EC2 con funciones de IAM (permiso](https://aws.amazon.com/blogs/security/granting-permission-to-launch-ec2-instances-with-iam-roles-passrole-permission/)). PassRole
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"cloudwatch:*",
"datapipeline:*",
"dynamodb:DescribeTable",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:ListInstance*",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:GetInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListRoles",
"rds:DescribeDBInstances",
"rds:DescribeDBSecurityGroups",
"redshift:DescribeClusters",
"redshift:DescribeClusterSecurityGroups",
"s3:List*",
"sns:ListTopics"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/DataPipelineDefaultResourceRole",
"arn:aws:iam::*:role/DataPipelineDefaultRole"
]
}
]
}
```
------