Gestión de identidad y acceso en Kinesis Data Analytics - Guía para desarrolladores de aplicaciones de Amazon Kinesis Data Analytics para SQL
Política de confianzaPolítica de permisos

Tras considerarlo detenidamente, hemos decidido retirar las aplicaciones de Amazon Kinesis Data Analytics para SQL en dos pasos:

1. A partir del 15 de octubre de 2025, no podrá crear nuevas aplicaciones de Kinesis Data Analytics para SQL.

2. Eliminaremos sus aplicaciones a partir del 27 de enero de 2026. No podrá iniciar ni utilizar sus aplicaciones de Amazon Kinesis Data Analytics para SQL. A partir de ese momento, el servicio de soporte de Amazon Kinesis Data Analytics para SQL dejará de estar disponible. Para obtener más información, consulte Retirada de las aplicaciones de Amazon Kinesis Data Analytics para SQL.

Gestión de identidad y acceso en Kinesis Data Analytics

Amazon Kinesis Data Analytics necesita permisos para leer registros de un origen de streaming que especifique en la configuración de entrada de su aplicación. Amazon Kinesis Data Analytics también necesita permisos para escribir la salida de su aplicación en las secuencias que especifique en la configuración de salida de la aplicación.

Para conceder estos permisos puede crear un rol de IAM que Amazon Kinesis Data Analytics pueda admitir. Los permisos que conceda a un rol determinarán lo que Amazon Kinesis Data Analytics podrá hacer cuando el servicio asuma dicho rol.

nota

La información de esta sección resulta útil si desea crear un rol de IAM usted mismo. Al crear una aplicación en la consola de Amazon Kinesis Data Analytics, esta puede crear un rol de IAM en ese momento. La consola utiliza la siguiente convención de nomenclatura para los roles de IAM que crea:

kinesis-analytics-ApplicationName

Una vez creado el rol, puede revisar el rol y las políticas asociadas en la consola de IAM.

Cada rol de IAM tiene dos políticas asociadas. En la política de confianza, debe especificar quién puede asumir el rol. En la política de permisos (puede haber una o más), debe especificar los permisos que desea conceder a este rol. En las siguientes secciones se describen estas políticas, que puede utilizar al crear un rol de IAM.

Política de confianza

Para conceder permisos a Amazon Kinesis Data Analytics para asumir un rol de acceso a un origen de streaming o de referencia, asocie la siguiente política de confianza a un rol de IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "kinesisanalytics.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Política de permisos

Si está creando un rol de IAM para permitir que Amazon Kinesis Data Analytics lea desde un origen de streaming de una aplicación, debe conceder permisos para las acciones de lectura correspondientes. Según el origen (por ejemplo, un flujo de Kinesis, un flujo de entrega de Firehose o un origen de referencia en un bucket de Amazon S3), puede asociar la siguiente política de permisos.

Política de permisos para leer una secuencia de Kinesis

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadInputKinesis",
            "Effect": "Allow",
            "Action": [
                "kinesis:DescribeStream",
                "kinesis:GetShardIterator",
                "kinesis:GetRecords",
                "kinesis:ListShards"
            ],
            "Resource": [
                "arn:aws:kinesis:aws-region:aws-account-id:stream/inputStreamName"
            ]
        }
    ]
}

Política de permisos para leer un flujo de entrega de Firehose

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadInputFirehose",
            "Effect": "Allow",
            "Action": [
                "firehose:DescribeDeliveryStream",
                "firehose:Get*"
            ],
            "Resource": [
                "arn:aws:firehose:aws-region:aws-account-id:deliverystream/inputFirehoseName"
            ]
        }
    ]
}
nota

El permiso firehose:Get* hace referencia a un acceso interno que Kinesis Data Analytics utiliza para acceder al flujo. No hay acceso público de un flujo de entrega de Firehose.

Si indica que Amazon Kinesis Data Analytics escriba directamente en destinos externos en la configuración de salida de su aplicación, debe conceder el siguiente permiso al rol de IAM.

Política de permisos para escribir en una secuencia de Kinesis

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "WriteOutputKinesis",
            "Effect": "Allow",
            "Action": [
                "kinesis:DescribeStream",
                "kinesis:PutRecord",
                "kinesis:PutRecords"
            ],
            "Resource": [
                "arn:aws:kinesis:aws-region:aws-account-id:stream/output-stream-name"
            ]
        }
    ]
}

Política de permisos para escribir en una secuencia de entrega de Firehose

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "WriteOutputFirehose",
            "Effect": "Allow",
            "Action": [
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": [
                "arn:aws:firehose:aws-region:aws-account-id:deliverystream/output-firehose-name"
            ]
        }
    ]
}

Política de permisos para leer un origen de datos de referencia de un bucket de Amazon S3

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:Get*",
        "s3:List*"
      ],
      "Resource": "*"
    }
  ]
}