Crie IAM políticas personalizadas para o Managed Service para notebooks Apache Flink Studio - Managed Service for Apache Flink
AWS GlueCloudWatch RegistrosStreams do KinesisMSKClusters da Amazon

Anteriormente, o Amazon Managed Service for Apache Flink era conhecido como Amazon Kinesis Data Analytics for Apache Flink.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie IAM políticas personalizadas para o Managed Service para notebooks Apache Flink Studio

Normalmente, você usa IAM políticas gerenciadas para permitir que seu aplicativo acesse recursos dependentes. Se precisar de um controle mais preciso sobre as permissões do seu aplicativo, você pode usar uma IAM política personalizada. Esta seção contém exemplos de IAM políticas personalizadas.

nota

Nos exemplos de políticas a seguir, substitua o texto do espaço reservado pelos valores do seu aplicativo.

AWS Glue

O exemplo de política a seguir concede permissões para acessar um AWS Glue banco de dados.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "GlueTable",
            "Effect": "Allow",
            "Action": [            
                "glue:GetConnection",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:CreateTable",
                "glue:UpdateTable"
            ],
            "Resource": [
                "arn:aws:glue:<region>:<accountId>:connection/*",
                "arn:aws:glue:<region>:<accountId>:table/<database-name>/*",
                "arn:aws:glue:<region>:<accountId>:database/<database-name>",
                "arn:aws:glue:<region>:<accountId>:database/hive",
                "arn:aws:glue:<region>:<accountId>:catalog"
            ]
        },
        {
            "Sid": "GlueDatabase",
            "Effect": "Allow",
            "Action": "glue:GetDatabases",
            "Resource": "*"
        }
    ]
}

CloudWatch Registros

A política a seguir concede permissões para acessar CloudWatch os registros:

{
      "Sid": "ListCloudwatchLogGroups",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "arn:aws:logs:<region>:<accountId>:log-group:*"
      ]
    },
    {
      "Sid": "ListCloudwatchLogStreams",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogStreams"
      ],
      "Resource": [
        "<logGroupArn>:log-stream:*"
      ]
    },
    {
      "Sid": "PutCloudwatchLogs",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "<logStreamArn>"
      ]
    }
nota

Se você criar seu aplicativo usando o console, o console adicionará as políticas necessárias para acessar CloudWatch Logs à sua função de aplicativo.

Streams do Kinesis

Seu aplicativo pode usar um Kinesis Stream como origem ou destino. Seu aplicativo precisa de permissões de leitura para ler de um stream de origem e permissões de gravação para gravar em um stream de destino.

A política a seguir concede permissões para leitura de um Kinesis Stream usado como fonte:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "KinesisShardDiscovery",
      "Effect": "Allow",
      "Action": "kinesis:ListShards",
      "Resource": "*"
    },
    {
      "Sid": "KinesisShardConsumption",
      "Effect": "Allow",
      "Action": [
        "kinesis:GetShardIterator",
        "kinesis:GetRecords",
        "kinesis:DescribeStream",
        "kinesis:DescribeStreamSummary",
        "kinesis:RegisterStreamConsumer",
        "kinesis:DeregisterStreamConsumer"
      ],
      "Resource": "arn:aws:kinesis:<region>:<accountId>:stream/<stream-name>"
    },
    {
      "Sid": "KinesisEfoConsumer",
      "Effect": "Allow",
      "Action": [
        "kinesis:DescribeStreamConsumer",
        "kinesis:SubscribeToShard"
      ],
      "Resource": "arn:aws:kinesis:<region>:<account>:stream/<stream-name>/consumer/*"
    }
  ]
}

A política a seguir concede permissões para gravar em um Kinesis Stream usado como destino:

{
    "Version": "2012-10-17",
    "Statement": [
         {
            "Sid": "KinesisStreamSink",
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord",
                "kinesis:PutRecords",
                "kinesis:DescribeStreamSummary",
                "kinesis:DescribeStream"
            ],
            "Resource": "arn:aws:kinesis:<region>:<accountId>:stream/<stream-name>"
        }
    ]
}

Se seu aplicativo acessar um stream criptografado do Kinesis, você deverá conceder permissões adicionais para acessar o stream e a chave de criptografia do stream.

A política a seguir concede permissões para acessar um stream de origem criptografado e a chave de criptografia do stream:

{
      "Sid": "ReadEncryptedKinesisStreamSource",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
      ],
      "Resource": [
        "<inputStreamKeyArn>"
      ]
    }
    ,

A política a seguir concede permissões para acessar um stream de destino criptografado e a chave de criptografia do stream:

{
      "Sid": "WriteEncryptedKinesisStreamSink",
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey"
      ],
      "Resource": [
        "<outputStreamKeyArn>"
      ]
    }

MSKClusters da Amazon

Para conceder acesso a um MSK cluster da Amazon, você concede acesso ao clusterVPC. Para exemplos de políticas para acessar uma AmazonVPC, consulte Permissões VPC do aplicativo.