Membuat IAM kebijakan khusus untuk Managed Service untuk notebook Apache Flink Studio - Layanan Terkelola untuk Apache Flink
AWS GlueCloudWatch LogAliran KinesisMSKCluster Amazon

Amazon Managed Service untuk Apache Flink sebelumnya dikenal sebagai Amazon Kinesis Data Analytics untuk Apache Flink.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat IAM kebijakan khusus untuk Managed Service untuk notebook Apache Flink Studio

Anda biasanya menggunakan IAM kebijakan terkelola untuk mengizinkan aplikasi mengakses sumber daya yang bergantung. Jika Anda memerlukan kontrol yang lebih baik atas izin aplikasi Anda, Anda dapat menggunakan kebijakan khususIAM. Bagian ini berisi contoh IAM kebijakan khusus.

catatan

Dalam contoh kebijakan berikut, ganti teks placeholder dengan nilai-nilai aplikasi Anda.

Topik ini berisi bagian-bagian berikut:

AWS Glue

Contoh kebijakan berikut memberikan izin untuk mengakses database. AWS Glue 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GlueTable",
            "Effect": "Allow",
            "Action": [            
                "glue:GetConnection",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:CreateTable",
                "glue:UpdateTable"
            ],
            "Resource": [
                "arn:aws:glue:<region>:<accountId>:connection/*",
                "arn:aws:glue:<region>:<accountId>:table/<database-name>/*",
                "arn:aws:glue:<region>:<accountId>:database/<database-name>",
                "arn:aws:glue:<region>:<accountId>:database/hive",
                "arn:aws:glue:<region>:<accountId>:catalog"
            ]
        },
        {
            "Sid": "GlueDatabase",
            "Effect": "Allow",
            "Action": "glue:GetDatabases",
            "Resource": "*"
        }
    ]
}

CloudWatch Log

Kebijakan berikut memberikan izin untuk mengakses CloudWatch Log:

{
      "Sid": "ListCloudwatchLogGroups",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "arn:aws:logs:<region>:<accountId>:log-group:*"
      ]
    },
    {
      "Sid": "ListCloudwatchLogStreams",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogStreams"
      ],
      "Resource": [
        "<logGroupArn>:log-stream:*"
      ]
    },
    {
      "Sid": "PutCloudwatchLogs",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "<logStreamArn>"
      ]
    }
catatan

Jika Anda membuat aplikasi menggunakan konsol, konsol akan menambahkan kebijakan yang diperlukan untuk mengakses CloudWatch Log ke peran aplikasi Anda.

Aliran Kinesis

Aplikasi Anda dapat menggunakan Aliran Kinesis untuk sumber atau tujuan. Aplikasi Anda memerlukan izin baca untuk membaca dari aliran sumber, dan izin tulis untuk menulis ke aliran tujuan.

Kebijakan berikut memberikan izin untuk membaca dari Aliran Kinesis yang digunakan sebagai sumber:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "KinesisShardDiscovery",
      "Effect": "Allow",
      "Action": "kinesis:ListShards",
      "Resource": "*"
    },
    {
      "Sid": "KinesisShardConsumption",
      "Effect": "Allow",
      "Action": [
        "kinesis:GetShardIterator",
        "kinesis:GetRecords",
        "kinesis:DescribeStream",
        "kinesis:DescribeStreamSummary",
        "kinesis:RegisterStreamConsumer",
        "kinesis:DeregisterStreamConsumer"
      ],
      "Resource": "arn:aws:kinesis:<region>:<accountId>:stream/<stream-name>"
    },
    {
      "Sid": "KinesisEfoConsumer",
      "Effect": "Allow",
      "Action": [
        "kinesis:DescribeStreamConsumer",
        "kinesis:SubscribeToShard"
      ],
      "Resource": "arn:aws:kinesis:<region>:<account>:stream/<stream-name>/consumer/*"
    }
  ]
}

Kebijakan berikut memberikan izin untuk menulis ke Aliran Kinesis yang digunakan sebagai tujuan:

{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Sid": "KinesisStreamSink",
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord",
                "kinesis:PutRecords",
                "kinesis:DescribeStreamSummary",
                "kinesis:DescribeStream"
            ],
            "Resource": "arn:aws:kinesis:<region>:<accountId>:stream/<stream-name>"
        }
    ]
}

Jika aplikasi Anda mengakses aliran Kinesis terenkripsi, Anda harus memberikan izin tambahan untuk mengakses aliran dan kunci enkripsi aliran.

Kebijakan berikut memberikan izin untuk mengakses aliran sumber terenkripsi dan kunci enkripsi aliran:

{
      "Sid": "ReadEncryptedKinesisStreamSource",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "<inputStreamKeyArn>"
      ]
    }
    ,

Kebijakan berikut memberikan izin untuk mengakses aliran tujuan terenkripsi dan kunci enkripsi aliran:

{
      "Sid": "WriteEncryptedKinesisStreamSink",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey"
      ],
      "Resource": [
        "<outputStreamKeyArn>"
      ]
    }

MSKCluster Amazon

Untuk memberikan akses ke MSK klaster Amazon, Anda memberikan akses ke klasterVPC. Untuk contoh kebijakan untuk mengakses AmazonVPC, lihat Izin VPC Aplikasi.