Création de IAM politiques personnalisées pour le service géré pour les ordinateurs portables Apache Flink Studio - Service géré pour Apache Flink
AWS GlueCloudWatch JournauxFlux KinesisMSKClusters Amazon

Le service géré Amazon pour Apache Flink était auparavant connu sous le nom d’Amazon Kinesis Data Analytics pour Apache Flink.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de IAM politiques personnalisées pour le service géré pour les ordinateurs portables Apache Flink Studio

Vous utilisez normalement des IAM politiques gérées pour permettre à votre application d'accéder aux ressources dépendantes. Si vous avez besoin d'un contrôle plus précis des autorisations de votre application, vous pouvez utiliser une IAM politique personnalisée. Cette section contient des exemples de IAM politiques personnalisées.

Note

Dans les exemples de politique suivants, remplacez le texte de l’espace réservé par les valeurs de votre application.

Cette rubrique contient les sections suivantes :

AWS Glue

L'exemple de politique suivant accorde des autorisations pour accéder à une AWS Glue base de données.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GlueTable",
            "Effect": "Allow",
            "Action": [            
                "glue:GetConnection",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:CreateTable",
                "glue:UpdateTable"
            ],
            "Resource": [
                "arn:aws:glue:<region>:<accountId>:connection/*",
                "arn:aws:glue:<region>:<accountId>:table/<database-name>/*",
                "arn:aws:glue:<region>:<accountId>:database/<database-name>",
                "arn:aws:glue:<region>:<accountId>:database/hive",
                "arn:aws:glue:<region>:<accountId>:catalog"
            ]
        },
        {
            "Sid": "GlueDatabase",
            "Effect": "Allow",
            "Action": "glue:GetDatabases",
            "Resource": "*"
        }
    ]
}

CloudWatch Journaux

La politique suivante octroie des autorisations d'accès aux CloudWatch journaux :

{
      "Sid": "ListCloudwatchLogGroups",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "arn:aws:logs:<region>:<accountId>:log-group:*"
      ]
    },
    {
      "Sid": "ListCloudwatchLogStreams",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogStreams"
      ],
      "Resource": [
        "<logGroupArn>:log-stream:*"
      ]
    },
    {
      "Sid": "PutCloudwatchLogs",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "<logStreamArn>"
      ]
    }
Note

Si vous créez votre application à l'aide de la console, celle-ci ajoute les politiques nécessaires pour accéder aux CloudWatch journaux à votre rôle d'application.

Flux Kinesis

Votre application peut utiliser un flux Kinesis pour une source ou une destination. Votre application a besoin d’autorisations de lecture pour lire à partir d’un flux source et d’autorisations d’écriture pour écrire dans un flux de destination.

La politique suivante accorde des autorisations de lecture à partir d’un flux Kinesis utilisé comme source :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "KinesisShardDiscovery",
      "Effect": "Allow",
      "Action": "kinesis:ListShards",
      "Resource": "*"
    },
    {
      "Sid": "KinesisShardConsumption",
      "Effect": "Allow",
      "Action": [
        "kinesis:GetShardIterator",
        "kinesis:GetRecords",
        "kinesis:DescribeStream",
        "kinesis:DescribeStreamSummary",
        "kinesis:RegisterStreamConsumer",
        "kinesis:DeregisterStreamConsumer"
      ],
      "Resource": "arn:aws:kinesis:<region>:<accountId>:stream/<stream-name>"
    },
    {
      "Sid": "KinesisEfoConsumer",
      "Effect": "Allow",
      "Action": [
        "kinesis:DescribeStreamConsumer",
        "kinesis:SubscribeToShard"
      ],
      "Resource": "arn:aws:kinesis:<region>:<account>:stream/<stream-name>/consumer/*"
    }
  ]
}

La politique suivante accorde des autorisations d’écriture dans un flux Kinesis utilisé comme destination :

{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Sid": "KinesisStreamSink",
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord",
                "kinesis:PutRecords",
                "kinesis:DescribeStreamSummary",
                "kinesis:DescribeStream"
            ],
            "Resource": "arn:aws:kinesis:<region>:<accountId>:stream/<stream-name>"
        }
    ]
}

Si votre application accède à un flux Kinesis crypté, vous devez accorder des autorisations supplémentaires pour accéder au flux et à la clé de chiffrement du flux.

La politique suivante accorde des autorisations pour accéder à un flux source chiffré et à la clé de chiffrement du flux :

{
      "Sid": "ReadEncryptedKinesisStreamSource",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "<inputStreamKeyArn>"
      ]
    }
    ,

La politique suivante accorde des autorisations pour accéder à un flux de destination chiffré et à la clé de chiffrement du flux :

{
      "Sid": "WriteEncryptedKinesisStreamSink",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey"
      ],
      "Resource": [
        "<outputStreamKeyArn>"
      ]
    }

MSKClusters Amazon

Pour accorder l'accès à un MSK cluster Amazon, vous accordez l'accès à celui du clusterVPC. Pour des exemples de politiques relatives à l'accès à un AmazonVPC, consultez la section Autorisations des VPC applications.