Uso de políticas baseadas em identidade (políticas do IAM) para - Guia do Desenvolvedor de Amazon Kinesis Data Analytics para aplicativos SQL
Permissões necessárias para usar o console do Políticas gerenciadas pela Amazon (predefinidas) para Exemplos de política gerenciada pelo cliente

Após uma análise cuidadosa, decidimos descontinuar as aplicações do Amazon Kinesis Data Analytics para SQL em duas etapas:

1. A partir de 15 de outubro de 2025, você não poderá mais criar aplicações do Kinesis Data Analytics para SQL.

2. Excluiremos as aplicações a partir de 27 de janeiro de 2026. Você não poderá mais iniciar nem operar as aplicações do Amazon Kinesis Data Analytics para SQL. A partir dessa data, não haverá mais suporte ao Amazon Kinesis Data Analytics para SQL. Para obter mais informações, consulte Descontinuação de aplicações do Amazon Kinesis Data Analytics para SQL.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Uso de políticas baseadas em identidade (políticas do IAM) para

Veja a seguir exemplos de políticas baseadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a identidades do IAM (isto é, usuários, grupos e perfis) e conceder permissões para realizar operações em recursos.

Importante

Recomendamos que você analise primeiramente os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do . Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos seus recursos do .

A seguir, um exemplo de uma política de permissões.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1473028104000",
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:CreateApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

A política tem uma instrução:

  • A primeira instrução concede permissões para uma ação do (kinesisanalytics:CreateApplication) em um recurso que está usando o nome de recurso da Amazon (ARN) para o aplicativo. O ARN, neste caso, especifica um caractere curinga (*) para indicar que a permissão é concedida para qualquer recurso.

Para obter uma tabela mostrando todas as operações da API e os recursos aos quais elas se aplicam, consulte Permissões de API: referência a ações, permissões e recursos.

Permissões necessárias para usar o console do

Para um usuário trabalhar com o console do , você deve conceder as permissões necessárias. Por exemplo, se você quiser que um usuário tenha permissões para criar aplicativo, conceda permissões que mostre a ele as origens de streaming na conta, para que o usuário possa configurar a entrada e a saída no console.

Recomendamos o seguinte:

Políticas gerenciadas pela Amazon (predefinidas) para

AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. Essas políticas gerenciadas pela Amazon concedem as permissões necessárias para casos de uso comuns para que você não precise investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas pela Amazon no Guia do usuário do IAM.

As seguintes políticas gerenciadas pela Amazon, que você pode anexar aos usuários em sua conta, são específicas para:

  • AmazonKinesisAnalyticsReadOnly: concede permissões para ações que permitem que um usuário liste aplicativos e analise a configuração de entrada/saída. Ele também concede permissões para o usuário visualizar uma lista de fluxos do Kinesis e fluxos de entrega do Firehose. Enquanto o aplicativo está em execução, o usuário pode visualizar dados de origem e resultados de análises em tempo real no console.

     

  • AmazonKinesisAnalyticsFullAccess: concede permissões para todas as ações e todas as outras permissões para um usuário criar e gerenciar aplicativos. Entretanto, observe o seguinte:

     

    • Essas permissões não serão suficientes se o usuário quiser criar uma nova função do IAM no console (elas permitirão que o usuário selecione uma função existente). Se você quiser que o usuário possa criar um perfil do IAM no console, adicione a política gerenciada pela Amazon IAMFullAccess.

       

    • Um usuário deve ter permissão para a ação iam:PassRole para que possa especificar um perfil do IAM ao configurar o aplicativo. Esta política gerenciada pela Amazon concede ao usuário permissão para a ação iam:PassRole somente nos perfis do IAM que começam com o prefixo service-role/kinesis-analytics.

      Se o usuário quiser configurar o aplicativo com um perfil que não tem esse prefixo, primeiro é necessário conceder explicitamente permissões de usuário para a ação iam:PassRole no perfil específico.

Você também pode criar as próprias políticas do IAM personalizadas a fim de conceder permissões para ações e recursos. Você pode anexar essas políticas personalizadas a usuários ou grupos do que exijam essas permissões.

Exemplos de política gerenciada pelo cliente

Os exemplos desta seção apresentam um grupo de políticas de amostra que você pode anexar a um usuário. Se você for iniciante na criação de políticas, recomendamos primeiro criar um usuário em sua conta. Em seguida, anexe as políticas ao usuário sequencialmente, conforme descrito nas etapas desta seção. Em seguida, você pode usar o console para verificar os efeitos de cada política à medida que anexa a política ao usuário.

Inicialmente, o usuário não tem permissões e não pode fazer nada no console. À medida que você anexar políticas ao usuário, poderá verificar se o usuário pode executar várias ações no console. 

Recomendamos o uso de duas janelas do navegador. Em uma janela, crie o usuário e conceda permissões. Na outra, faça login AWS Management Console usando as credenciais do usuário e verifique as permissões à medida que você as concede.

Para obter exemplos que mostrem como criar um perfil do IAM que possa ser usado como perfil de execução no seu aplicativo, consulte Criação de perfis do IAM no Guia do usuário do IAM.

Etapa 1: Criar um usuário do IAM

Primeiro, é preciso criar um usuário do IAM, adicionar o usuário a um grupo do IAM com permissões administrativas e, em seguida, conceder permissões administrativas ao usuário criado. Em seguida, você pode acessar AWS usando um URL especial e as credenciais desse usuário.

Para obter instruções, consulte Criar o primeiro usuário do IAM e o grupo de administradores no Guia do usuário do IAM.

Etapa 2: Conceder ao usuário permissões para ações que não são específicas do

Vamos primeiro conceder a um usuário permissão para todas as ações que não são específicas do de que o usuário precisará ao trabalhar com aplicativos do . Isso inclui permissões para trabalhar com streams (ações do Amazon Kinesis Data Streams, ações do Amazon Data Firehose) e permissões para ações. CloudWatch Anexe a política a seguir ao usuário.

Você precisa atualizar a política fornecendo um nome de função do IAM para o qual deseja conceder a permissão iam:PassRole ou especificar um caractere curinga (*) indicando todas as funções do IAM. Essa não é uma prática segura; no entanto, você pode não ter uma função do IAM específica criada durante esse teste.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kinesis:CreateStream",
                "kinesis:DeleteStream",
                "kinesis:DescribeStream",
                "kinesis:ListStreams",
                "kinesis:PutRecord",
                "kinesis:PutRecords"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "firehose:DescribeDeliveryStream",
                "firehose:ListDeliveryStreams"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "logs:GetLogEvents",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicyVersions",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/service-role/role-name"
        }
    ]
}

Etapa 3: Permitir que o usuário visualize uma lista de aplicativos e os detalhes

A política a seguir concede a um usuário as seguintes permissões:

  • Permissão para a ação kinesisanalytics:ListApplications para que o usuário possa visualizar uma lista de aplicativos. Isso é uma chamada de API de nível de serviço e, portanto, especifique "*" como valor de Resource.

  • Permissão para a ação kinesisanalytics:DescribeApplication para que você possa obter informações sobre qualquer um dos aplicativos.

Adicione essa política ao usuário. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:ListApplications"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:DescribeApplication"
            ],
            "Resource": "arn:aws:kinesisanalytics:aws-region:aws-account-id:application/*"
        }
    ]
}

Verifique essas permissões fazendo login no console usando as credenciais de usuário.

Etapa 4: Permitir que o usuário inicie um aplicativo específico

Se quiser que o usuário inicie um dos aplicativos existentes do , anexe a política a seguir ao usuário. A política fornece a permissão para a ação kinesisanalytics:StartApplication. Você deve atualizar a política fornecendo o ID da conta, a AWS região e o nome do aplicativo. 

{
    "Version": "2012-10-17",
    "Statement": [
               {
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:StartApplication"                
            ],
            "Resource": "arn:aws:kinesisanalytics:aws-region:aws-account-id:application/application-name"
        }
    ]
}

Etapa 5: Permitir que o usuário crie um aplicativo do

Se quiser que o usuário crie um aplicativo, anexe a política a seguir ao usuário. Você deve atualizar a política e fornecer uma AWS região, o ID da sua conta e um nome de aplicativo específico que você deseja que o usuário crie ou um “*” para que o usuário possa especificar qualquer nome de aplicativo (e, assim, criar vários aplicativos).

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1473028104000",
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:CreateApplication"
            ],
            "Resource": [
                "*"
            ]
        },
     
        {
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:StartApplication",
                "kinesisanalytics:UpdateApplication",
                "kinesisanalytics:AddApplicationInput",
                "kinesisanalytics:AddApplicationOutput"
            ],
            "Resource": "arn:aws:kinesisanalytics:aws-region:aws-account-id:application/application-name"
        }
    ]
}

Etapa 6: Permitir que o aplicativo use o pré-processamento do Lambda

Se quiser que o aplicativo use o pré-processamento do Lambda, anexe a política a seguir ao perfil. 

     {
       "Sid": "UseLambdaFunction",
       "Effect": "Allow",
       "Action": [
           "lambda:InvokeFunction",
           "lambda:GetFunctionConfiguration"
       ],
       "Resource": "<FunctionARN>"
   }