AWS Data Pipeline 不再向新客户提供。的现有客户 AWS Data Pipeline 可以继续照常使用该服务。[了解详情](https://aws.amazon.com/blogs/big-data/migrate-workloads-from-aws-data-pipeline/)
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 正在设置 AWS Data Pipeline
在 AWS Data Pipeline 首次使用之前,请完成以下任务。
**Topics**
+ [报名参加 AWS](#dp-sign-up)
+ [为 AWS Data Pipeline 管道资源创建 IAM 角色](#dp-iam-roles-new)
+ [允许 IAM 主体(用户和群组)执行必要操作](#dp-iam-create-user-groups)
+ [授权以编程方式访问](#dp-grant-programmatic-access)
完成这些任务后,就可以开始使用 AWS Data Pipeline了。有关基本教程,请参阅 [入门 AWS Data Pipeline](dp-getting-started.md)。
## 报名参加 AWS
当您注册 Amazon Web Services (AWS) 时,您的 AWS 账户将自动注册 AWS 中的所有服务,包括 AWS Data Pipeline。您只需为使用的服务付费。有关 AWS Data Pipeline 使用费率的更多信息,请参阅 [AWS Data Pipelin](https://aws.amazon.com/datapipeline/) e。
### 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**报名参加 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
### 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 为 AWS Data Pipeline 管道资源创建 IAM 角色
AWS Data Pipeline 需要 IAM 角色来确定执行操作和访问 AWS 资源的权限。*管道角色*决定 AWS Data Pipeline 拥有的权限,*资源角色决定在*管道资源(例如 EC2 实例)上运行的应用程序所拥有的权限。在您创建管道时,请指定这些角色。即使您未指定自定义角色并使用默认角色 `DataPipelineDefaultRole` 和 `DataPipelineDefaultResourceRole`,也必须先创建角色并附加权限策略。有关更多信息,请参阅 [适用的 IAM 角色 AWS Data Pipeline](dp-iam-roles.md)。
## 允许 IAM 主体(用户和群组)执行必要操作
要使用管道,必须允许您账户中的 IAM 主体(用户或群组)对管道定义的其他服务执行所需的 [AWS Data Pipeline 操作](https://docs.aws.amazon.com/datapipeline/latest/APIReference/API_Operations.html)。
为了简化权限,您可以将**AWSDataPipeline\$1FullAccess**托管策略附加到 IAM 委托人。此托管策略允许委托人执行用户要求的所有操作以及未指定自定义角色 AWS Data Pipeline 时使用的默认角色的操作。`iam:PassRole`
我们强烈建议您仔细评估此托管策略,将权限仅限于您的用户所需的权限。如有必要,请使用此策略作为起点,然后移除权限以创建限制性更强的内联权限策略,您可以将其附加到 IAM 主体。有关示例权限策略的更多信息,请参阅 [的策略示例 AWS Data Pipeline](dp-example-tag-policies.md)。
与以下示例类似的策略语句必须包含在附加到任何使用管道的 IAM 主体的策略中。此语句允许 IAM 主体对管道使用的角色执行 `PassRole` 操作。如果您不使用默认角色,请使用您创建的自定义角色替换 `MyPipelineRole` 和 `MyResourceRole`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/MyPipelineRole",
"arn:aws:iam::*:role/MyResourceRole"
]
}
]
}
```
------
以下过程演示如何创建 IAM 群组、将**AWSDataPipeline\$1FullAccess**托管策略附加到群组,然后向群组添加用户。您可以将此过程用于任何内联策略
**创建用户组`DataPipelineDevelopers`并附加**AWSDataPipeline\$1FullAccess**策略**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,依次选择 **Groups (组)** 和 **Create New Group (创建新组)**。
1. 输入一个**组的名称**(例如 **DataPipelineDevelopers**),然后选择**下一步**。
1. 在**筛选**中输入 **AWSDataPipeline\$1FullAccess**,然后从列表中将其选中。
1. 选择 **Next Step**,然后选择 **Create Group**。
1. 要将用户添加到组:
1. 从组列表中选择您创建的组。
1. 依次选择 **Group Actions (组操作)**、**Add Users to Group (将多个用户添加到组)**。
1. 从列表中选择要添加的用户,然后选择**添加用户到组**。
## 授权以编程方式访问
如果用户想在 AWS 外部进行交互,则需要编程访问权限 AWS 管理控制台。授予编程访问权限的方式取决于正在访问的用户类型 AWS。
要向用户授予编程式访问权限,请选择以下选项之一。
****
| 哪个用户需要编程式访问权限? | 目的 | 方式 |
| --- | --- | --- |
| IAM | (推荐)使用控制台凭证作为临时凭证,签署对 AWS CLI AWS SDKs、或的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datapipeline/latest/DeveloperGuide/dp-get-setup.html) |
| 人力身份 (在 IAM Identity Center 中管理的用户) | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datapipeline/latest/DeveloperGuide/dp-get-setup.html) |
| IAM | 使用临时证书签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照 IAM 用户指南中的将[临时证书与 AWS 资源配合使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)中的说明进行操作。 |
| IAM | (不推荐使用)使用长期凭证签署向 AWS CLI AWS SDKs、或发出的编程请求 AWS APIs。 | 按照您希望使用的界面的说明进行操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datapipeline/latest/DeveloperGuide/dp-get-setup.html) |