Contoh Kebijakan untuk AWS Data Pipeline - AWS Data Pipeline

AWS Data Pipeline tidak lagi tersedia untuk pelanggan baru. Pelanggan yang sudah ada dari AWS Data Pipeline dapat terus menggunakan layanan seperti biasa. Pelajari selengkapnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh Kebijakan untuk AWS Data Pipeline

Contoh berikut ini menunjukkan cara memberikan akses penuh atau terbatas pada pengguna ke alur.

Contoh 1: Memberikan pengguna akses hanya-baca berdasarkan tanda

Kebijakan berikut memungkinkan pengguna untuk menggunakan tindakan API AWS Data Pipeline hanya baca, tetapi hanya dengan alur yang memiliki tanda “environment=production”.

Tindakan ListPipelines API tidak mendukung otorisasi berbasis tanda.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datapipeline:Describe*", "datapipeline:GetPipelineDefinition", "datapipeline:ValidatePipelineDefinition", "datapipeline:QueryObjects" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "datapipeline:Tag/environment": "production" } } } ] }

Contoh 2: Memberikan pengguna akses penuh berdasarkan tanda

Kebijakan berikut memungkinkan pengguna untuk menggunakan semua tindakanAWS Data Pipeline API, dengan pengecualian ListPipelines, tetapi hanya dengan alur yang memiliki tanda “environment=test”.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datapipeline:*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "datapipeline:Tag/environment": "test" } } } ] }

Contoh 3: Memberikan akses penuh untuk pemilik alur

Kebijakan berikut memungkinkan pengguna untuk menggunakan semua tindakan API AWS Data Pipeline, tapi hanya dengan alur mereka sendiri.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datapipeline:*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "datapipeline:PipelineCreator": "${aws:userid}" } } } ] }

Contoh 4: Memberikan akses pengguna ke konsol AWS Data Pipeline

Kebijakan berikut memungkinkan pengguna untuk membuat dan mengelola alur dengan menggunakan konsol AWS Data Pipeline.

Kebijakan ini mencakup tindakan untuk izin PassRole untuk sumber daya spesifik yang terkait dengan roleARN yang dibutuhkan AWS Data Pipeline. Untuk informasi lebih lanjut tentangPassRole izin berbasis identitas (IAM), lihat posting blog Pemberian izin untuk Meluncurkan Instans EC2 dengan IAM Role (PassRoleIzin).

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "cloudwatch:*", "datapipeline:*", "dynamodb:DescribeTable", "elasticmapreduce:AddJobFlowSteps", "elasticmapreduce:ListInstance*", "iam:AddRoleToInstanceProfile", "iam:CreateInstanceProfile", "iam:GetInstanceProfile", "iam:GetRole", "iam:GetRolePolicy", "iam:ListInstanceProfiles", "iam:ListInstanceProfilesForRole", "iam:ListRoles", "rds:DescribeDBInstances", "rds:DescribeDBSecurityGroups", "redshift:DescribeClusters", "redshift:DescribeClusterSecurityGroups", "s3:List*", "sns:ListTopics" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:PassRole", "Effect": "Allow", "Resource": [ "arn:aws:iam::*:role/DataPipelineDefaultResourceRole", "arn:aws:iam::*:role/DataPipelineDefaultRole" ] } ] }