AWS Data Pipeline 不再提供給新客戶。的現有客戶 AWS Data Pipeline 可以繼續正常使用服務。[進一步了解](https://aws.amazon.com/blogs/big-data/migrate-workloads-from-aws-data-pipeline/)
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 的 AWS Data Pipeline
AWS Data Pipeline 第一次使用 之前,請先完成下列任務。
**Topics**
+ [註冊 AWS](#dp-sign-up)
+ [為 AWS Data Pipeline 和管道資源建立 IAM 角色](#dp-iam-roles-new)
+ [允許 IAM 主體 (使用者和群組) 執行必要的動作](#dp-iam-create-user-groups)
+ [授予程式設計存取權](#dp-grant-programmatic-access)
完成這些任務後,您就可以開始使用 AWS Data Pipeline。如需基本教學,請參閱[入門 AWS Data Pipeline](dp-getting-started.md)。
## 註冊 AWS
當您註冊 Amazon Web Services (AWS) 時,您的 AWS 帳戶會自動註冊 AWS 中的所有服務,包括 AWS Data Pipeline。您只需支付實際使用服務的費用。如需 AWS Data Pipeline 用量費率的詳細資訊,請參閱 [AWS Data Pipeline](https://aws.amazon.com/datapipeline/)。
### 註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
### 建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。
**保護您的 AWS 帳戶根使用者**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理存取權的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 將使用者指派至群組,然後對該群組指派單一登入存取權。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 為 AWS Data Pipeline 和管道資源建立 IAM 角色
AWS Data Pipeline 需要決定執行動作和存取 AWS 資源許可的 IAM 角色。*管道角色*會決定 AWS Data Pipeline 具有的許可,而*資源角色*會決定在管道資源上執行的應用程式所擁有的許可,例如 EC2 執行個體。您可以在建立管道時指定這些角色。即使您未指定自訂角色並使用預設角色 `DataPipelineDefaultRole` 和 `DataPipelineDefaultResourceRole`,仍必須先建立角色並連接許可政策。如需詳細資訊,請參閱[的 IAM 角色 AWS Data Pipeline](dp-iam-roles.md)。
## 允許 IAM 主體 (使用者和群組) 執行必要的動作
若要使用管道,您必須允許帳戶中的 IAM 主體 (使用者或群組) 為管道定義的其他服務執行必要的[AWS Data Pipeline 動作](https://docs.aws.amazon.com/datapipeline/latest/APIReference/API_Operations.html)和動作。
為了簡化許可,**AWSDataPipeline\$1FullAccess** 受管政策可供您連接至 IAM 主體。此受管政策允許委託人執行使用者所需的所有動作,以及在未指定自訂角色 AWS Data Pipeline 時與 搭配使用的預設角色上的`iam:PassRole`動作。
強烈建議您仔細評估此受管政策,並將許可限制為僅限使用者所需的許可。如有必要,請使用此政策作為起點,然後移除許可以建立更嚴格的內嵌許可政策,您可以將這些政策連接到 IAM 主體。如需詳細資訊和範例許可政策,請參閱 [的範例政策 AWS Data Pipeline](dp-example-tag-policies.md)
類似下列範例的政策陳述式必須包含在連接到任何使用管道的 IAM 主體的政策中。此陳述式可讓 IAM 主體對管道使用的角色執行 `PassRole`動作。如果您不使用預設角色,請將 `MyPipelineRole`和 `MyResourceRole` 取代為您建立的自訂角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/MyPipelineRole",
"arn:aws:iam::*:role/MyResourceRole"
]
}
]
}
```
------
下列程序示範如何建立 IAM 群組、將 **AWSDataPipeline\$1FullAccess** 受管政策連接至群組,然後將使用者新增至群組。您可以針對任何內嵌政策使用此程序
**建立使用者群組 `DataPipelineDevelopers` 並連接 **AWSDataPipeline\$1FullAccess** 政策**
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Groups (群組)**、**Create New Group (建立新群組)**。
1. 輸入**群組名稱**,例如 **DataPipelineDevelopers**,然後選擇**下一步**。
1. **AWSDataPipeline\$1FullAccess** 針對**篩選條件**輸入 ,然後從清單中選取它。
1. 選擇 **Next Step (下一步)**,然後選擇 **Create Group (建立群組)**。
1. 若要將使用者新增至群組:
1. 從群組清單中選取您建立的群組。
1. 選擇**群組動作**,**將使用者新增至群組**。
1. 從清單中選擇您要新增的使用者,然後選擇**將使用者新增至群組**。
## 授予程式設計存取權
如果使用者想要與 AWS 外部互動,則需要程式設計存取 AWS 管理主控台。授予程式設計存取權的方式取決於正在存取的使用者類型 AWS。
若要授予使用者程式設計存取權,請選擇下列其中一個選項。
****
| 哪個使用者需要程式設計存取權? | 到 | 根據 |
| --- | --- | --- |
| IAM | (建議) 使用主控台登入資料做為臨時登入資料,以簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/datapipeline/latest/DeveloperGuide/dp-get-setup.html) |
| 人力資源身分 (IAM Identity Center 中管理的使用者) | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/datapipeline/latest/DeveloperGuide/dp-get-setup.html) |
| IAM | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 遵循《IAM 使用者指南》中[將臨時登入資料與 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)搭配使用的指示。 |
| IAM | (不建議使用)使用長期登入資料來簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/datapipeline/latest/DeveloperGuide/dp-get-setup.html) |