本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# HealthOmics 的身分型 IAM 政策
<a name="permissions-user"></a>

若要授予您帳戶中的使用者 HealthOmics 存取權，請在 AWS Identity and Access Management (IAM) 中使用身分型政策。身分型政策可以直接套用至 IAM 使用者，或與使用者相關聯的 IAM 群組和角色。您也可以授予另一個帳戶中的使用者在帳戶中擔任角色並存取 HealthOmics 資源的許可。

若要授予使用者對工作流程版本執行動作的許可，您必須將工作流程和特定工作流程版本新增至資源清單。

下列 IAM 政策允許使用者存取所有 HealthOmics API 動作，並將[服務角色](permissions-service.md)傳遞給 HealthOmics。

**Example 使用者政策**    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "omics:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "omics.amazonaws.com"
        }
      }
    }
  ]
}
```

當您使用 HealthOmics 時，也會與其他 AWS 服務互動。若要存取這些服務，請使用每個服務提供的受管政策。若要限制對資源子集的存取，您可以使用 受管政策做為起點，以建立更嚴格的政策。

****
+ [AmazonS3FullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess) – 存取任務使用的 Amazon S3 儲存貯體和物件。

  
+ [AmazonEC2ContainerRegistryFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryFullAccess) – 存取工作流程容器映像的 Amazon ECR 登錄檔和儲存庫。

  
+ [AWSLakeFormationDataAdmin](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin) – 存取分析存放區建立的 Lake Formation 資料庫和資料表。

  
+ [ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess) – 使用 HealthOmics 標記 API 操作來標記 HealthOmics 資源。

  

上述政策不允許使用者建立 IAM 角色。對於具有這些執行任務許可的使用者，管理員必須建立授予 HealthOmics 存取資料來源許可的服務角色。如需詳細資訊，請參閱[的服務角色 AWS HealthOmics](permissions-service.md)。

## 定義執行的自訂 IAM 許可
<a name="permissions-workflow-runs"></a>

您可以在授權`StartRun`請求中包含請求參考的任何工作流程、執行或執行群組。若要這樣做，請在 IAM 政策中列出工作流程、執行或執行群組的所需組合。例如，您可以將工作流程的使用限制在特定執行或執行群組。您也可以指定工作流程只能與執行群組搭配使用。

以下是允許具有單一執行群組的單一工作流程的 IAM 政策範例。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:workflow/1234567",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:GetRun",
              "omics:ListRunTasks",
              "omics:GetRunTask",
              "omics:CancelRun",
              "omics:DeleteRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*"
          ]
      }     
  ]
}
```

------