設定 AWS Data Pipeline - AWS Data Pipeline
註冊成為 AWS建立IAM角色 AWS Data Pipeline 和管道資源允許IAM主參與者 (使用者與群組) 執行必要的動作授予程式設計存取權

AWS Data Pipeline 不再提供給新客戶。現有客戶 AWS Data Pipeline 可繼續正常使用此服務。進一步了解

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 AWS Data Pipeline

使用前 AWS Data Pipeline 第一次完成以下任務。

完成這些工作後,您就可以開始使用 AWS Data Pipeline。 如需基本自學課程,請參閱AWS Data Pipeline 入門

註冊成為 AWS

當您註冊 Amazon Web Services (AWS) 時,您的AWS帳戶將自動註冊為中的所有服務AWS,包括 AWS Data Pipeline。 我們只會針對您使用的服務向您收費。如需關於 AWS Data Pipeline 使用率,請參閱 AWSData Pipeline

註冊一個 AWS 帳戶

如果您沒有 AWS 帳戶,請完成下列步驟來建立一個步驟。

若要註冊成為 AWS 帳戶

  1. 打開https://portal.aws.amazon.com/billing/註冊

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。

    當您註冊一個 AWS 帳戶,一個 AWS 帳戶根使用者已建立。根使用者可以存取所有 AWS 服務 和帳戶中的資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 註冊過程完成後,會向您發送確認電子郵件。您可以隨時前往 https://aws.amazon.com/並選擇「我的帳戶」,檢視目前的帳戶活動並管理您的帳戶

建立具有管理存取權的使用者

在您註冊一個 AWS 帳戶,保護您的 AWS 帳戶根使用者,啟用 AWS IAM Identity Center,並建立系統管理使用者,這樣您就不會將 root 使用者用於日常工作。

保護您的 AWS 帳戶根使用者

  1. 登入 AWS Management Console通過選擇 Root 用戶並輸入您的帳戶所有者 AWS 帳戶 電子郵件地址。在下一頁中,輸入您的密碼。

    如需使用 root 使用者登入的說明,請參閱以 root 使用者身分登AWS 登入 使用者指南

  2. 為您的 root 使用者開啟多因素驗證 (MFA)。

    如需指示,請參閱為您的MFA裝置啟用虛擬裝置 AWS 帳戶 使用者指南中的 root IAM 使用者 (主控台)。

建立具有管理存取權的使用者

  1. 啟用IAM身分識別中心。

    如需指示,請參閱啟用 AWS IAM Identity Center 中的 AWS IAM Identity Center 使用者指南

  2. 在IAM身分識別中心中,將管理存取權授與使用者。

    若要取得有關使用 IAM Identity Center 目錄 做為您的身分識別來源,請參閱以預設值設定使用者存取 IAM Identity Center 目錄 中的 AWS IAM Identity Center 使用者指南

以具有管理存取權的使用者身分登入

  • 若要使用您的 IAM Identity Center 使用者登入URL,請使用建立IAM身分識別中心使用者時傳送至您電子郵件地址的登入資訊。

    如需使用IAM身分識別中心使用者登入的說明,請參閱登入 AWS 存取入口網站 AWS 登入 使用者指南

指派存取權給其他使用者

  1. 在 IAM Identity Center 中,建立遵循套用最低權限權限的最佳作法的權限集。

    如需指示,請參閱 AWS IAM Identity Center 使用者指南

  2. 將使用者指派至群組,然後對該群組指派單一登入存取權。

    如需指示,請參閱新增群組 AWS IAM Identity Center 使用者指南

建立IAM角色 AWS Data Pipeline 和管道資源

AWS Data Pipeline 需要決定執行動作和存取權限的IAM角色 AWS 的費用。管線角色決定的權限 AWS Data Pipeline 具有,且資源角色會決定在管線資源 (例如執行個體) 上EC2執行的應用程式擁有的權限。您可以在建立管線時指定這些角色。即使您未指定自訂角色並使用預設角色 DataPipelineDefaultRoleDataPipelineDefaultResourceRole,也必須先建立角色並附加權限原則。如需詳細資訊,請參閱AWS Data Pipeline 的 IAM 角色

允許IAM主參與者 (使用者與群組) 執行必要的動作

若要使用管道,必須允許帳戶中的IAM主體 (使用者或群組) 執行必要項目 AWS Data Pipeline 您的管道所定義的其他服務的動作和動作。

為了簡化權限,您可以使用 AWSDataPipeline_ FullAccess 受管理的原則來附加至IAM主參與者。此受管理的原則可讓主參與者執行使用者需要的所有iam:PassRole動作,以及對搭配使用的預設角色執行動作 AWS Data Pipeline 未指定自訂角色時。

我們強烈建議您仔細評估此受管理政策,並將權限限制為您的使用者需要的原則。如有必要,請使用此原則做為起點,然後移除權限以建立可附加至IAM主參與者的更嚴格的內嵌權限原則。如需詳細資訊和權限原則範例,請參閱 用於 AWS Data Pipeline 的政策範例

類似下列範例的原則陳述式必須包含在附加至使用管線之任何IAM主體的原則中。此陳述式可讓IAM主參與者對管線使用的角色執行PassRole動作。如果您不使用預設角色,請將MyPipelineRoleMyResourceRole取代為您建立的自訂角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/MyPipelineRole",
                "arn:aws:iam::*:role/MyResourceRole"
            ]
        }
    ]
}

下列程序示範如何建立IAM群組、將 AWSDataPipeline_ FullAccess 受管理的原則附加至群組,然後將使用者新增至群組。您可以針對任何內嵌政策使用此程序

若要建立使用者群組DataPipelineDevelopers並附加 AWSDataPipeline_ FullAccess 原則

  1. 在開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Groups (群組)Create New Group (建立新群組)

  3. 例如,輸入群組名稱DataPipelineDevelopers,然後選擇 [下一步]。

  4. 輸入AWSDataPipeline_FullAccess選條件,然後從清單中選取它。

  5. 選擇 Next Step (下一步),然後選擇 Create Group (建立群組)

  6. 若要將使用者新增至群組:

    1. 從群組清單中選取您建立的群組。

    2. 選擇群組動作新增使用者至群組

    3. 從清單中選取要新增的使用者,然後選擇 [新增使用者至群組]。

授予程式設計存取權

如果用戶想要與之互動,則需要以程式設計方式存取 AWS 的之外 AWS Management Console。 授與程式設計存取權的方式取決於存取的使用者類型 AWS.

若要授與使用者程式設計存取權,請選擇下列其中一個選項。

哪個使用者需要程式設計存取權? By

人力身分

(在IAM身分識別中心管理的使用者)

 使用臨時登入資料來簽署程式設計要求 AWS CLI, AWS SDKs,或 AWS APIs.

請依照您要使用的介面所提供的指示操作。
IAM 使用臨時登入資料來簽署程式設計要求 AWS CLI, AWS SDKs,或 AWS APIs. 遵循使用臨時登入資料中的指示 AWS《IAM使用者指南》中的資源。
IAM

(不建議使用)

使用長期認證來簽署程式設計要求 AWS CLI, AWS SDKs,或 AWS APIs.

請依照您要使用的介面所提供的指示操作。