Após uma análise cuidadosa, decidimos descontinuar o Amazon Kinesis Data Analytics SQL para aplicativos em duas etapas:
1. A partir de 15 de outubro de 2025, você não poderá criar um novo Kinesis Data Analytics SQL para aplicativos.
2. Excluiremos seus aplicativos a partir de 27 de janeiro de 2026. Você não poderá iniciar ou operar seu Amazon Kinesis Data Analytics SQL para aplicativos. O suporte não estará mais disponível para o Amazon Kinesis Data Analytics SQL a partir desse momento. Para obter mais informações, consulte Descontinuação do Amazon Kinesis Data Analytics SQL para aplicativos.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Visão geral do gerenciamento de permissões de acesso aos seus recursos do
Atenção
Para novos projetos, recomendamos que você use o novo serviço gerenciado para Apache Flink Studio em vez de para SQL aplicativos. O Managed Service for Apache Flink Studio combina facilidade de uso com recursos analíticos avançados, permitindo que você crie aplicativos sofisticados de processamento de stream em minutos.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos em AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
-
Usuários gerenciados IAM por meio de um provedor de identidade:
Crie um perfil para a federação de identidades. Siga as instruções em Criação de uma função para um provedor de identidade terceirizado (federação) no Guia IAM do usuário.
-
IAMusuários:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de uma função para um IAM usuário no Guia IAM do usuário.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adicionar permissões a um usuário (console) no Guia do IAM usuário.
-
nota
Um administrador da conta (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte as IAM melhores práticas no Guia IAM do usuário.
Tópicos
Recursos e operações
No , o primeiro recurso é um aplicativo. Em uma política, você usa um Amazon Resource Name (ARN) para identificar o recurso ao qual a política se aplica.
Esses recursos têm nomes de recursos exclusivos da Amazon (ARNs) associados a eles, conforme mostrado na tabela a seguir.
| Tipo de recurso | ARNFormato |
|---|---|
| Aplicativo |
|
fornece um conjunto de operações para trabalhar com recursos. Para ver uma lista das operações disponíveis, consulte Ações.
Noções básicas sobre propriedade de recursos
Ele Conta da AWS possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a entidade principal (ou seja, a conta raiz, um usuário ou uma IAM função) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:
-
Se você usar as credenciais da sua conta raiz Conta da AWS para criar um aplicativo, você Conta da AWS é o proprietário do recurso. (No , o recurso é um aplicativo.)
-
Se você criar um usuário no seu Conta da AWS e conceder permissões para criar um aplicativo para esse usuário, o usuário poderá criar um aplicativo. No entanto, seu Conta da AWS, ao qual o usuário pertence, é proprietário do recurso do aplicativo. É altamente recomendável que você conceda permissões aos perfis e não aos usuários.
-
Se você criar uma IAM função no seu Conta da AWS com permissões para criar um aplicativo, qualquer pessoa que possa assumir a função poderá criar um aplicativo. Seu Conta da AWS, ao qual o usuário pertence, é proprietário do recurso do aplicativo.
Gerenciamento do acesso aos recursos
A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.
nota
Esta seção discute o uso IAM no contexto de. Ele não fornece informações detalhadas sobre o IAM serviço. Para obter a IAM documentação completa, consulte O que éIAM? no Guia do IAM usuário. Para obter informações sobre a IAM sintaxe e as descrições das IAMJSONpolíticas, consulte Referência de políticas no Guia do IAM usuário.
As políticas anexadas a uma IAM identidade são chamadas de políticas baseadas em identidade (IAMpolíticas). As políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. Suporta somente políticas baseadas em identidade (políticas). IAM
Políticas baseadas em identidade (políticas) IAM
Você pode anexar políticas às IAM identidades. Por exemplo, você pode fazer o seguinte:
-
Anexar uma política de permissões a um usuário ou grupo na conta: para conceder a um usuário permissões para criar um recurso, como um aplicativo, você pode anexar uma política de permissões a um usuário ou grupo ao qual o usuário pertença.
-
Anexar uma política de permissões a uma função (conceder permissões entre contas) — Você pode anexar uma política de permissões baseada em identidade a uma IAM função para conceder permissões entre contas. Por exemplo, o administrador da conta A pode criar uma função para conceder permissões entre contas a outra Conta da AWS (por exemplo, conta B) ou a um serviço da Amazon da seguinte forma:
-
O administrador da conta A cria uma IAM função e anexa uma política de permissões à função que concede permissões sobre recursos na conta A.
-
Um administrador da conta A anexa uma política de confiança ao perfil identificando a conta B como a entidade principal, que pode assumir a função.
-
O administrador da conta B pode delegar permissões para assumir o perfil a todos os usuários na conta B. Isso permite que os usuários na conta B criem ou acessem recursos na conta A. A entidade principal na política de confiança também pode ser um serviço principal, se você quiser conceder a um serviço da Amazon permissões para assumir o perfil.
Para obter mais informações sobre IAM como delegar permissões, consulte Gerenciamento de acesso no Guia do IAM usuário.
-
Veja a seguir um exemplo de política que concede permissão para a ação kinesisanalytics:CreateApplication , o que é necessário para criar um aplicativo.
nota
Este é um exemplo de política introdutória. Quando você anexar a política ao usuário, o usuário poderá criar um aplicativo usando o AWS CLI ou AWS SDK. Mas o usuário precisará de mais permissões para configurar a entrada e a saída. Além disso, o usuário precisará de mais permissões ao usar o console. As seções mais recentes fornecem mais informações.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1473028104000", "Effect": "Allow", "Action": [ "kinesisanalytics:CreateApplication" ], "Resource": [ "*" ] } ] }
Para mais informações sobre como usar políticas baseadas em identidade com o , consulte Usando políticas baseadas em identidade (IAMpolíticas) para . Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do IAM usuário.
Políticas baseadas em recurso
Outros serviços, como o Amazon S3, também aceitam políticas de permissões baseadas em recurso. Por exemplo, você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket. O não aceita políticas baseadas em recurso.
Especificar elementos da política: ações, efeitos e entidades principais
Para cada recurso, o serviço define um conjunto de API operações. Para conceder permissões para essas API operações, define um conjunto de ações que você pode especificar em uma política. Algumas API operações podem exigir permissões para mais de uma ação para realizar a API operação. Para obter mais informações sobre recursos e API operações, consulte Recursos e operações Ações e.
Estes são os elementos de política mais básicos:
-
Recurso — Você usa um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte Recursos e operações.
-
Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, você pode usar
createpara permitir que os usuários criem um aplicativo. -
Efeito: você especifica o efeito, permitir ou negar, quando o usuário solicita a ação específica. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
-
Principal — Em políticas baseadas em identidade (IAMpolíticas), o usuário ao qual a política está vinculada é o principal implícito. Para as políticas baseadas em recurso, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (aplica-se somente a políticas baseadas em recurso). O não aceita politicas baseadas em recurso.
Para saber mais sobre a sintaxe e as descrições das IAM políticas, consulte a Referência IAM JSON de políticas no Guia do IAM usuário.
Para obter uma de tabelas mostrando todas as API operações e os recursos aos quais elas se aplicam, consulte APIPermissões: Referência de ações, permissões e recursos.
Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política de acesso para especificar as condições quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre a especificação de condições em um idioma de política, consulte Condição no Guia do IAM Usuário.
Para expressar condições, você usa chaves de condição predefinidas. Não existem chaves de condição específicas do . No entanto, existem chaves AWS de condição abrangentes que você pode usar conforme apropriado. Para obter uma lista completa AWS de chaves amplas, consulte Chaves disponíveis para condições no Guia do IAM usuário.
