用於 AWS Data Pipeline 的政策範例 - AWS Data Pipeline
範例 1:根據標籤將唯讀存取授予使用者範例 2:根據標籤將完整存取授予使用者範例 3:將完整存取授予管道擁有者範例 4:授予使用者存取 AWS Data Pipeline 主控台

AWS Data Pipeline 不再提供給新客戶。現有客戶 AWS Data Pipeline 可繼續正常使用此服務。進一步了解

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用於 AWS Data Pipeline 的政策範例

下列範例示範如何將管道的完整存取或有限存取授予使用者。

範例 1:根據標籤將唯讀存取授予使用者

下列政策可讓使用者使用唯讀 AWS Data Pipeline API 動作,但僅限於具有標籤 "environment=production" 的管道。

ListPipelines API 動作不支援標籤型授權。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:Describe*",
        "datapipeline:GetPipelineDefinition",
        "datapipeline:ValidatePipelineDefinition",
        "datapipeline:QueryObjects"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "production"
        }
      }
    }
  ]
}

範例 2:根據標籤將完整存取授予使用者

下列原則允許使用者使用所有AWS Data Pipeline API 動作 ListPipelines,但僅限具有標籤為「環境 = 測試」的管道。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:Tag/environment": "test"
        }
      }
    }
  ]
}

範例 3:將完整存取授予管道擁有者

下列政策可讓使用者使用所有 AWS Data Pipeline API 動作,但僅限於自己的管道。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "datapipeline:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "datapipeline:PipelineCreator": "${aws:userid}"
        }
      }
    }
  ]
}

範例 4:授予使用者存取 AWS Data Pipeline 主控台

下列政策可讓使用者使用 AWS Data Pipeline 主控台來建立及管理管道。

此政策針對連結至 AWS Data Pipeline 所需 roleARN 的特定資源,包含其 PassRole 許可的動作。如需有關以身分識別為基礎 (IAM)PassRole 權限的詳細資訊,請參閱部落格文章授予使用 IAM 角色 (權限) 啟動 EC2 執行個體的PassRole許可

{
	"Version": "2012-10-17",
	"Statement": [{
			"Action": [
				"cloudwatch:*",
				"datapipeline:*",
				"dynamodb:DescribeTable",
				"elasticmapreduce:AddJobFlowSteps",
				"elasticmapreduce:ListInstance*",
				"iam:AddRoleToInstanceProfile",
				"iam:CreateInstanceProfile",
				"iam:GetInstanceProfile",
				"iam:GetRole",
				"iam:GetRolePolicy",
				"iam:ListInstanceProfiles",
				"iam:ListInstanceProfilesForRole",
				"iam:ListRoles",
				"rds:DescribeDBInstances",
				"rds:DescribeDBSecurityGroups",
				"redshift:DescribeClusters",
				"redshift:DescribeClusterSecurityGroups",
				"s3:List*",
				"sns:ListTopics"
			],
			"Effect": "Allow",
			"Resource": [
				"*"
			]
		},
		{
			"Action": "iam:PassRole",
			"Effect": "Allow",
			"Resource": [
				"arn:aws:iam::*:role/DataPipelineDefaultResourceRole",
				"arn:aws:iam::*:role/DataPipelineDefaultRole"
			]
		}
	]
}