管理您的 資源之存取許可的概觀 - Amazon Kinesis Data Analytics for SQL Applications 開發人員指南

在仔細考慮之後,我們決定在兩個步驟中停止 Amazon Kinesis Data Analytics for SQL 應用程式:

1. 從 2025 年 10 月 15 日起,您將無法為SQL應用程式建立新的 Kinesis Data Analytics。

2. 我們將從 2026 年 1 月 27 日起刪除您的應用程式。您將無法啟動或操作SQL應用程式的 Amazon Kinesis Data Analytics。從那時SQL起,Amazon Kinesis Data Analytics 將不再提供 的支援。如需詳細資訊,請參閱Amazon Kinesis Data Analytics for SQL 應用程式終止

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理您的 資源之存取許可的概觀

警告

對於新專案,我們建議您使用新的 Managed Service for Apache Flink Studio 而不是 for SQL Applications。Managed Service for Apache Flink Studio 易於使用且具備進階分析功能,可讓您在幾分鐘內建置複雜的串流處理應用程式。

若要提供存取權,請新增權限至您的使用者、群組或角色:

注意

帳戶管理員 (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參閱 IAM 使用者指南 中的IAM最佳實務

資源與操作

在 中,主要的資源是應用程式。在政策中,您可以使用 Amazon Resource Name (ARN) 來識別政策適用的資源。

這些資源具有與其相關聯的唯一 Amazon Resource Name (ARNs),如下表所示。

資源類型 ARN 格式
應用程式

arn:aws:kinesisanalytics:region:account-id:application/application-name

提供一組用於處理資源的操作。如需可用操作的清單,請參閱 動作

了解資源所有權

AWS 帳戶 擁有在帳戶中建立的資源,無論誰建立資源。具體而言,資源擁有者是驗證資源建立請求 AWS 帳戶 的主要實體 (即根帳戶、使用者或IAM角色) 的 。下列範例說明其如何運作:

  • 如果您使用 的根帳戶憑證 AWS 帳戶 來建立應用程式,則您的 AWS 帳戶 是 資源的擁有者。(在 中,資源即應用程式。)

  • 如果您在 中建立使用者, AWS 帳戶 並將建立應用程式的許可授予該使用者,則使用者可以建立應用程式。不過,使用者所屬 AWS 帳戶的 擁有應用程式資源。我們強烈建議您將許可授與角色,而非使用者。

  • 如果您在 AWS 帳戶 具有建立應用程式許可的 中建立IAM角色,則任何可以擔任該角色的人都可以建立應用程式。使用者所屬 AWS 帳戶的 擁有應用程式資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節討論在 內容IAM中使用 。它不會提供有關 IAM服務的詳細資訊。如需完整IAM文件,請參閱 使用者指南 中的什麼是 IAM?IAM 如需IAM政策語法和描述的相關資訊,請參閱 IAM 使用者指南 中的IAMJSON政策參考

連接到IAM身分的政策稱為身分型政策 (IAM 政策)。連接至資源的政策稱為資源型政策。 僅支援身分型政策 (IAM 政策)。

身分型政策 (IAM 政策)

您可以將政策連接至IAM身分。例如,您可以執行下列動作:

  • 將許可政策連接至您帳戶中的使用者或群組:若要授予使用者建立資源 (例如資料表) 的許可,您可以將許可政策附加至使用者或其所屬的群組。

  • 將許可政策連接至角色 (授予跨帳戶許可) – 您可以將身分型許可政策連接至IAM角色,以授予跨帳戶許可。例如,帳戶 A 中的管理員可以建立角色,將跨帳戶許可授予另一個 AWS 帳戶 (例如帳戶 B) 或 Amazon 服務,如下所示:

    1. 帳戶 A 管理員會建立IAM角色,並將許可政策附加至授予帳戶 A 資源許可的角色。

    2. 帳戶 A 管理員會將信任政策連接至將帳戶 B 識別為可擔任角色之主體的角色。

    3. 帳戶 B 管理員即可將擔任該角色的許可委派給帳戶 B 中的任何使用者。這麼做可讓帳戶 B 的使用者建立或存取帳戶 A 的資源。如果您想要授予 Amazon 服務擔任該角色的許可,則信任政策中的主體也可以是 Amazon 服務主體。

    如需使用 IAM 委派許可的詳細資訊,請參閱 IAM 使用者指南 中的存取管理

下列是授予許可給 kinesisanalytics:CreateApplication 動作的範例政策,此為建立應用程式的必要動作。

注意

此為簡介範例政策。當您將政策連接至使用者時,使用者將可以使用 AWS CLI 或 建立應用程式 AWS SDK。但是使用者需要更多許可來配置輸入和輸出。此外,使用者在使用主控台時需要更多許可。後面的章節提供了更多資訊。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1473028104000", "Effect": "Allow", "Action": [ "kinesisanalytics:CreateApplication" ], "Resource": [ "*" ] } ] }

如需搭配 使用身分識別型政策的詳細資訊,請參閱 針對 使用以身分為基礎的政策 (IAM 政策) 。如需使用者、群組、角色和許可的詳細資訊,請參閱 IAM 使用者指南 中的身分 (使用者、群組和角色)

資源型政策

其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以附加政策到 S3 儲存貯體,以管理存取許可到該儲存貯體。 不支援以資源為基礎的政策。

指定政策元素:動作、效果和委託人

對於每個資源,服務會定義一組API操作。若要授予這些API操作的許可, 會定義一組您可以在政策中指定的動作。有些API操作可能需要多個動作的許可,才能執行API操作。如需資源和API操作的詳細資訊,請參閱 資源與操作動作

以下是最基本的政策元素:

  • 資源 – 您可以使用 Amazon Resource Name (ARN) 來識別政策適用的資源。如需詳細資訊,請參閱 資源與操作

  • 動作:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,您可以使用 create 來允許使用者建立應用程式。

  • 效果:您可以指定使用者請求特定動作時會有什麼效果 (允許或拒絕)。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。

  • 主體 – 在身分型政策 (IAM 政策) 中,附加政策的使用者是隱含主體。對於以資源為基礎的政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於以資源為基礎的政策)。 不支援以資源為基礎的政策。

若要進一步了解IAM政策語法和描述,請參閱 IAM 使用者指南 中的IAMJSON政策參考

如需顯示所有API操作及其適用的資源的資料表,請參閱 API 許可:動作、許可和資源參考

在政策中指定條件

當您授予許可時,可以使用存取政策語言來指定政策應該何時生效的條件。例如,建議只在特定日期之後套用政策。如需以政策語言指定條件的詳細資訊,請參閱 IAM 使用者指南 中的條件

欲表示條件,您可以使用預先定義的條件金鑰。沒有 特定的條件金鑰。不過,您可以視需要使用 AWS全局條件金鑰。如需 AWS全局金鑰的完整清單,請參閱 IAM 使用者指南 中的條件可用金鑰