Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Peran layanan untuk AWS HealthOmics
Peran layanan adalah peran AWS Identity and Access Management (IAM) yang memberikan izin bagi AWS layanan untuk mengakses sumber daya di akun Anda. Anda memberikan peran layanan AWS HealthOmics saat memulai pekerjaan impor atau memulai proses.
HealthOmics Konsol dapat membuat peran yang diperlukan untuk Anda. Jika Anda menggunakan HealthOmics API untuk mengelola sumber daya, buat peran layanan menggunakan konsol IAM. Untuk informasi selengkapnya, lihat [Membuat peran untuk mendelegasikan izin ke](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html). Layanan AWS
Peran layanan harus memiliki kebijakan kepercayaan berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "omics.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Kebijakan kepercayaan memungkinkan HealthOmics layanan untuk mengambil peran.
**Topics**
+ [Contoh kebijakan layanan IAM](#permissions-service-samplepolicies)
+ [Contoh CloudFormation template](#permissions-service-sampletemplates)
## Contoh kebijakan layanan IAM
Dalam contoh ini, nama sumber daya dan akun IDs adalah placeholder untuk Anda ganti dengan nilai aktual.
Contoh berikut menunjukkan kebijakan untuk peran layanan yang dapat Anda gunakan untuk memulai proses. Kebijakan ini memberikan izin untuk mengakses lokasi keluaran Amazon S3, grup log alur kerja, dan container Amazon ECR untuk dijalankan.
**catatan**
Jika Anda menggunakan caching panggilan untuk menjalankan, tambahkan cache jalankan lokasi Amazon S3 sebagai sumber daya di izin s3.
**Example Kebijakan peran layanan untuk memulai proses**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1"
]
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/omics/WorkflowLog:log-stream:*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/omics/WorkflowLog:*"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchCheckLayerAvailability"
],
"Resource": [
"arn:aws:ecr:us-east-1:123456789012:repository/*"
]
}
]
}
```
Contoh berikut menunjukkan kebijakan untuk peran layanan yang dapat Anda gunakan untuk pekerjaan impor toko. Kebijakan ini memberikan izin untuk mengakses lokasi input Amazon S3.
**Example Peran layanan untuk pekerjaan toko Referensi**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
## Contoh CloudFormation template
Contoh CloudFormation template berikut membuat peran layanan yang memberikan HealthOmics izin untuk mengakses bucket Amazon S3 yang memiliki nama yang diawali dengan`omics-`, dan untuk mengunggah log alur kerja.
**Example Izin toko referensi, Amazon S3, dan CloudWatch Log**
```
Parameters:
bucketName:
Description: Bucket name
Type: String
Resources:
serviceRole:
Type: AWS::IAM::Role
Properties:
Policies:
- PolicyName: read-reference
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- omics:*
Resource: !Sub arn:${AWS::Partition}:omics:${AWS::Region}:${AWS::AccountId}:referenceStore/*
- PolicyName: read-s3
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- s3:ListBucket
Resource: !Sub arn:${AWS::Partition}:s3:::${bucketName}
- Effect: Allow
Action:
- s3:GetObject
- s3:PutObject
Resource: !Sub arn:${AWS::Partition}:s3:::${bucketName}/*
- PolicyName: upload-logs
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- logs:DescribeLogStreams
- logs:CreateLogStream
- logs:PutLogEvents
Resource: !Sub arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:loggroup:/aws/omics/WorkflowLog:log-stream:*
- Effect: Allow
Action:
- logs:CreateLogGroup
Resource: !Sub arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:loggroup:/aws/omics/WorkflowLog:*
AssumeRolePolicyDocument: |
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Effect": "Allow",
"Principal": {
"Service": [
"omics.amazonaws.com"
]
}
}
]
}
```