Após uma análise cuidadosa, decidimos descontinuar as aplicações do Amazon Kinesis Data Analytics para SQL em duas etapas:
1. A partir de 15 de outubro de 2025, você não poderá mais criar aplicações do Kinesis Data Analytics para SQL.
2. Excluiremos as aplicações a partir de 27 de janeiro de 2026. Você não poderá mais iniciar nem operar as aplicações do Amazon Kinesis Data Analytics para SQL. A partir dessa data, não haverá mais suporte ao Amazon Kinesis Data Analytics para SQL. Para obter mais informações, consulte Descontinuação de aplicações do Amazon Kinesis Data Analytics para SQL.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Visão geral do gerenciamento de permissões de acesso aos seus recursos do
Atenção
Para novos projetos, recomendamos que você use o novo Managed Service for Apache Flink Studio em vez de aplicativos SQL. O Managed Service for Apache Flink Studio combina facilidade de uso com recursos analíticos avançados, permitindo que você crie aplicativos sofisticados de processamento de stream em minutos.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos em AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
-
Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
-
Usuários do IAM:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.
-
nota
Um administrador da conta (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
Tópicos
Recursos e operações
No , o primeiro recurso é um aplicativo. Em uma política, você usa um Nome de recurso da Amazon (ARN) para identificar o recurso a que a política se aplica.
Esses recursos têm nomes de recursos exclusivos da Amazon (ARNs) associados a eles, conforme mostrado na tabela a seguir.
| Tipo de recurso | Formato do ARN |
|---|---|
| Aplicativo |
|
fornece um conjunto de operações para trabalhar com recursos. Para ver uma lista das operações disponíveis, consulte Ações.
Noções básicas sobre propriedade de recursos
Ele Conta da AWS possui os recursos criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a entidade principal (ou seja, a conta raiz, um usuário ou uma função do IAM) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:
-
Se você usar as credenciais da sua conta raiz Conta da AWS para criar um aplicativo, você Conta da AWS é o proprietário do recurso. (No , o recurso é um aplicativo.)
-
Se você criar um usuário no seu Conta da AWS e conceder permissões para criar um aplicativo para esse usuário, o usuário poderá criar um aplicativo. No entanto, seu Conta da AWS, ao qual o usuário pertence, é proprietário do recurso do aplicativo. É altamente recomendável que você conceda permissões aos perfis e não aos usuários.
-
Se você criar uma função do IAM em sua Conta da AWS com permissões para criar um aplicativo, qualquer pessoa que possa assumir a função poderá criar um aplicativo. Seu Conta da AWS, ao qual o usuário pertence, é proprietário do recurso do aplicativo.
Gerenciamento do acesso aos recursos
Uma política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.
nota
Esta seção discute o uso do IAM no contexto do . Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte O que é o IAM? no Manual do usuário do IAM. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a Referência da política JSON do IAM no Manual do usuário do IAM.
As políticas anexadas a uma identidade do IAM são chamadas de políticas baseadas em identidade (políticas do IAM). As políticas anexadas a um recurso são conhecidas como políticas baseadas em recurso. O suporta apenas políticas baseadas em identidade (políticas do IAM).
Políticas baseadas em identidade (políticas do IAM)
Você pode anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:
-
Anexar uma política de permissões a um usuário ou grupo na conta: para conceder a um usuário permissões para criar um recurso, como um aplicativo, você pode anexar uma política de permissões a um usuário ou grupo ao qual o usuário pertença.
-
Anexar uma política de permissões a uma função: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, o administrador da conta A pode criar uma função para conceder permissões entre contas a outra Conta da AWS (por exemplo, conta B) ou a um serviço da Amazon da seguinte forma:
-
Um administrador da Conta A cria um perfil do IAM e anexa uma política de permissões ao perfil que concede permissões em recursos da Conta A.
-
Um administrador da conta A anexa uma política de confiança ao perfil identificando a conta B como a entidade principal, que pode assumir a função.
-
O administrador da conta B pode delegar permissões para assumir o perfil a todos os usuários na conta B. Isso permite que os usuários na conta B criem ou acessem recursos na conta A. A entidade principal na política de confiança também pode ser um serviço principal, se você quiser conceder a um serviço da Amazon permissões para assumir o perfil.
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento de acesso no Guia do usuário do IAM.
-
Veja a seguir um exemplo de política que concede permissão para a ação kinesisanalytics:CreateApplication , o que é necessário para criar um aplicativo.
nota
Este é um exemplo de política introdutória. Quando você anexar a política ao usuário, o usuário poderá criar um aplicativo usando o AWS SDK AWS CLI ou. Mas o usuário precisará de mais permissões para configurar a entrada e a saída. Além disso, o usuário precisará de mais permissões ao usar o console. As seções mais recentes fornecem mais informações.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1473028104000", "Effect": "Allow", "Action": [ "kinesisanalytics:CreateApplication" ], "Resource": [ "*" ] } ] }
Para mais informações sobre como usar políticas baseadas em identidade com o , consulte Uso de políticas baseadas em identidade (políticas do IAM) para . Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do usuário do IAM.
Políticas baseadas em recurso
Outros serviços, como o Amazon S3, também aceitam políticas de permissões baseadas em recurso. Por exemplo, você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket. O não aceita políticas baseadas em recurso.
Especificar elementos da política: ações, efeitos e entidades principais
Para cada recurso do , o serviço define um conjunto de operações da API. Para conceder permissões a essas operações da API, o define um conjunto de ações que podem ser especificadas em uma política. Algumas operações da API podem exigir permissões para mais de uma ação a fim de realizar a operação da API. Para obter mais informações sobre os recursos e operações da API, consulte Recursos e operações e Ações.
Estes são os elementos de política mais básicos:
-
Recurso: use um nome do recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte Recursos e operações.
-
Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, você pode usar
createpara permitir que os usuários criem um aplicativo. -
Efeito: você especifica o efeito, permitir ou negar, quando o usuário solicita a ação específica. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
-
Principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é implicitamente a entidade principal. Para as políticas baseadas em recurso, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (aplica-se somente a políticas baseadas em recurso). O não aceita politicas baseadas em recurso.
Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a Referência da política JSON do IAM no Guia do usuário do IAM.
Para obter uma lista em mostrando todas as operações da API e os recursos aos quais elas se aplicam, consulte Permissões de API: referência a ações, permissões e recursos.
Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política de acesso para especificar as condições quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condition no Guia do usuário do IAM.
Para expressar condições, você usa chaves de condição predefinidas. Não existem chaves de condição específicas do . No entanto, existem chaves AWS de condição abrangentes que você pode usar conforme apropriado. Para obter uma lista completa AWS de chaves abrangentes, consulte Chaves disponíveis para condições no Guia do usuário do IAM.
