AWS Data Pipeline n'est plus disponible pour les nouveaux clients. Les clients existants de AWS Data Pipeline peut continuer à utiliser le service normalement. En savoir plus

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de stratégies pour AWS Data Pipeline

Les exemples suivants montrent comment accorder aux utilisateurs un accès complet ou limité aux pipelines.

Exemple 1 : Accorder aux utilisateurs un accès en lecture seule en fonction d'une balise

La stratégie suivante permet aux utilisateurs d'utiliser les actions d'API AWS Data Pipeline en lecture seule, mais uniquement avec les pipelines qui ont la balise "environment=production".

L'action d' ListPipelines API ne prend pas en charge l'autorisation basée sur les balises.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:Describe*",
        "datapipeline:GetPipelineDefinition",
        "datapipeline:ValidatePipelineDefinition",
        "datapipeline:QueryObjects"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "production"
        }
      }
    }
  ]
}

Exemple 2 : Accorder aux utilisateurs un accès complet en fonction d'une balise

La politique suivante permet aux utilisateurs d'utiliser toutes les actions de l'AWS Data PipelineAPI, à l'exception ListPipelines, mais uniquement, des pipelines portant la balise « environment=test ».

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "test"
        }
      }
    }
  ]
}

Exemple 3 : Accorder un accès complet au propriétaire du pipeline

La stratégie suivante permet aux utilisateurs d'utiliser toutes les actions d'API AWS Data Pipeline, mais uniquement avec leurs propres pipelines.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:PipelineCreator": "${aws:userid}"
        }
      }
    }
  ]
}

Exemple 4 : Accorder aux utilisateurs l'accès à la console AWS Data Pipeline

La stratégie suivante permet aux utilisateurs de créer et de gérer un pipeline à l'aide de la console AWS Data Pipeline.

Cette stratégie inclut l'action pour les autorisations PassRole pour les ressources spécifiques liées au roleARN dont AWS Data Pipeline a besoin. Pour plus d'informations sur l'PassRoleautorisation basée sur l'identité (IAM), consultez le billet de blog Octroi de l'autorisation de lancer des instances EC2 avec des rôles IAM (PassRoleautorisation).

{
	"Version": "2012-10-17",
	"Statement": [{
			"Action": [
				"cloudwatch:*",
				"datapipeline:*",
				"dynamodb:DescribeTable",
				"elasticmapreduce:AddJobFlowSteps",
				"elasticmapreduce:ListInstance*",
				"iam:AddRoleToInstanceProfile",
				"iam:CreateInstanceProfile",
				"iam:GetInstanceProfile",
				"iam:GetRole",
				"iam:GetRolePolicy",
				"iam:ListInstanceProfiles",
				"iam:ListInstanceProfilesForRole",
				"iam:ListRoles",
				"rds:DescribeDBInstances",
				"rds:DescribeDBSecurityGroups",
				"redshift:DescribeClusters",
				"redshift:DescribeClusterSecurityGroups",
				"s3:List*",
				"sns:ListTopics"
			],
			"Effect": "Allow",
			"Resource": [
				"*"
			]
		},
		{
			"Action": "iam:PassRole",
			"Effect": "Allow",
			"Resource": [
				"arn:aws:iam::*:role/DataPipelineDefaultResourceRole",
				"arn:aws:iam::*:role/DataPipelineDefaultRole"
			]
		}
	]
}