Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ruoli di servizio per AWS HealthOmics
Un ruolo di servizio è un ruolo AWS Identity and Access Management (IAM) che concede le autorizzazioni affinché un AWS servizio acceda alle risorse del tuo account. Assegni un ruolo di servizio a AWS HealthOmics quando avvii un processo di importazione o inizi un'esecuzione.
La HealthOmics console può creare il ruolo richiesto per te. Se utilizzi l' HealthOmics API per gestire le risorse, crea il ruolo di servizio utilizzando la console IAM. Per ulteriori informazioni, consulta [Creare un ruolo per delegare le autorizzazioni a](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) un. Servizio AWS
I ruoli di servizio devono avere la seguente politica di attendibilità.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "omics.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
La politica di fiducia consente al HealthOmics servizio di assumere il ruolo.
**Topics**
+ [Esempi di politiche di servizio IAM](#permissions-service-samplepolicies)
+ [CloudFormation Modello di esempio](#permissions-service-sampletemplates)
## Esempi di politiche di servizio IAM
In questi esempi, i nomi delle risorse e gli account IDs sono segnaposto da sostituire con valori effettivi.
L'esempio seguente mostra la politica per un ruolo di servizio che è possibile utilizzare per avviare un'esecuzione. La policy concede le autorizzazioni per accedere alla posizione di output di Amazon S3, al gruppo di log del flusso di lavoro e al contenitore Amazon ECR per l'esecuzione.
**Nota**
Se utilizzi la memorizzazione nella cache delle chiamate per l'esecuzione, aggiungi la posizione di run cache Amazon S3 come risorsa nelle autorizzazioni s3.
**Example Politica del ruolo di servizio per l'avvio di un'esecuzione**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1"
]
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/omics/WorkflowLog:log-stream:*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/omics/WorkflowLog:*"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchCheckLayerAvailability"
],
"Resource": [
"arn:aws:ecr:us-east-1:123456789012:repository/*"
]
}
]
}
```
L'esempio seguente mostra la politica per un ruolo di servizio che è possibile utilizzare per un processo di importazione da un negozio. La policy concede le autorizzazioni per accedere alla posizione di input di Amazon S3.
**Example Ruolo di servizio per Reference Store Job**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
## CloudFormation Modello di esempio
Il seguente CloudFormation modello di esempio crea un ruolo di servizio che HealthOmics autorizza ad accedere ai bucket Amazon S3 con nomi preceduti da e a caricare i log del `omics-` flusso di lavoro.
**Example Autorizzazioni Reference Store, Amazon S3 e CloudWatch Logs**
```
Parameters:
bucketName:
Description: Bucket name
Type: String
Resources:
serviceRole:
Type: AWS::IAM::Role
Properties:
Policies:
- PolicyName: read-reference
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- omics:*
Resource: !Sub arn:${AWS::Partition}:omics:${AWS::Region}:${AWS::AccountId}:referenceStore/*
- PolicyName: read-s3
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- s3:ListBucket
Resource: !Sub arn:${AWS::Partition}:s3:::${bucketName}
- Effect: Allow
Action:
- s3:GetObject
- s3:PutObject
Resource: !Sub arn:${AWS::Partition}:s3:::${bucketName}/*
- PolicyName: upload-logs
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- logs:DescribeLogStreams
- logs:CreateLogStream
- logs:PutLogEvents
Resource: !Sub arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:loggroup:/aws/omics/WorkflowLog:log-stream:*
- Effect: Allow
Action:
- logs:CreateLogGroup
Resource: !Sub arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:loggroup:/aws/omics/WorkflowLog:*
AssumeRolePolicyDocument: |
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Effect": "Allow",
"Principal": {
"Service": [
"omics.amazonaws.com"
]
}
}
]
}
```