Crie políticas personalizadas de IAM para o Managed Service para notebooks Apache Flink Studio - Managed Service for Apache Flink
AWS GlueCloudWatch RegistrosStreams do KinesisClusters do Amazon MSK

Anteriormente, o Amazon Managed Service for Apache Flink era conhecido como Amazon Kinesis Data Analytics for Apache Flink.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie políticas personalizadas de IAM para o Managed Service para notebooks Apache Flink Studio

Normalmente, você usa políticas gerenciadas do IAM para permitir que seu aplicativo acesse recursos dependentes. Se precisar de um controle mais preciso sobre as permissões do seu aplicativo, você pode usar uma política personalizada do IAM. Esta seção contém exemplos de políticas personalizadas do IAM.

nota

Nos exemplos de políticas a seguir, substitua o texto do espaço reservado pelos valores do seu aplicativo.

AWS Glue

O exemplo de política a seguir concede permissões para acessar um AWS Glue banco de dados.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GlueTable",
            "Effect": "Allow",
            "Action": [            
                "glue:GetConnection",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:CreateTable",
                "glue:UpdateTable"
            ],
            "Resource": [
                "arn:aws:glue:<region>:<accountId>:connection/*",
                "arn:aws:glue:<region>:<accountId>:table/<database-name>/*",
                "arn:aws:glue:<region>:<accountId>:database/<database-name>",
                "arn:aws:glue:<region>:<accountId>:database/hive",
                "arn:aws:glue:<region>:<accountId>:catalog"
            ]
        },
        {
            "Sid": "GlueDatabase",
            "Effect": "Allow",
            "Action": "glue:GetDatabases",
            "Resource": "*"
        }
    ]
}

CloudWatch Registros

A política a seguir concede permissões para acessar CloudWatch os registros:

{
      "Sid": "ListCloudwatchLogGroups",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "arn:aws:logs:<region>:<accountId>:log-group:*"
      ]
    },
    {
      "Sid": "ListCloudwatchLogStreams",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogStreams"
      ],
      "Resource": [
        "<logGroupArn>:log-stream:*"
      ]
    },
    {
      "Sid": "PutCloudwatchLogs",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "<logStreamArn>"
      ]
    }
nota

Se você criar seu aplicativo usando o console, o console adicionará as políticas necessárias para acessar CloudWatch Logs à sua função de aplicativo.

Streams do Kinesis

Seu aplicativo pode usar um Kinesis Stream como origem ou destino. Seu aplicativo precisa de permissões de leitura para ler de um stream de origem e permissões de gravação para gravar em um stream de destino.

A política a seguir concede permissões para leitura de um Kinesis Stream usado como fonte:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "KinesisShardDiscovery",
      "Effect": "Allow",
      "Action": "kinesis:ListShards",
      "Resource": "*"
    },
    {
      "Sid": "KinesisShardConsumption",
      "Effect": "Allow",
      "Action": [
        "kinesis:GetShardIterator",
        "kinesis:GetRecords",
        "kinesis:DescribeStream",
        "kinesis:DescribeStreamSummary",
        "kinesis:RegisterStreamConsumer",
        "kinesis:DeregisterStreamConsumer"
      ],
      "Resource": "arn:aws:kinesis:<region>:<accountId>:stream/<stream-name>"
    },
    {
      "Sid": "KinesisEfoConsumer",
      "Effect": "Allow",
      "Action": [
        "kinesis:DescribeStreamConsumer",
        "kinesis:SubscribeToShard"
      ],
      "Resource": "arn:aws:kinesis:<region>:<account>:stream/<stream-name>/consumer/*"
    }
  ]
}

A política a seguir concede permissões para gravar em um Kinesis Stream usado como destino:

{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Sid": "KinesisStreamSink",
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord",
                "kinesis:PutRecords",
                "kinesis:DescribeStreamSummary",
                "kinesis:DescribeStream"
            ],
            "Resource": "arn:aws:kinesis:<region>:<accountId>:stream/<stream-name>"
        }
    ]
}

Se seu aplicativo acessar um stream criptografado do Kinesis, você deverá conceder permissões adicionais para acessar o stream e a chave de criptografia do stream.

A política a seguir concede permissões para acessar um stream de origem criptografado e a chave de criptografia do stream:

{
      "Sid": "ReadEncryptedKinesisStreamSource",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "<inputStreamKeyArn>"
      ]
    }
    ,

A política a seguir concede permissões para acessar um stream de destino criptografado e a chave de criptografia do stream:

{
      "Sid": "WriteEncryptedKinesisStreamSink",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey"
      ],
      "Resource": [
        "<outputStreamKeyArn>"
      ]
    }

Clusters do Amazon MSK

Para conceder acesso a um cluster Amazon MSK, você concede acesso à VPC do cluster. Para exemplos de políticas para acessar uma Amazon VPC, consulte Permissões do aplicativo VPC.