Tras considerarlo detenidamente, hemos decidido dejar de utilizar Amazon Kinesis Data Analytics para aplicaciones SQL:
1. A partir del **1 de septiembre de 2025,** no proporcionaremos ninguna corrección de errores para las aplicaciones de Amazon Kinesis Data Analytics for SQL porque tendremos un soporte limitado debido a la próxima discontinuación.
2. A partir del **15 de octubre de 2025,** no podrá crear nuevas aplicaciones de Kinesis Data Analytics for SQL.
3. Eliminaremos sus aplicaciones a partir del **27 de enero de 2026**. No podrá iniciar ni utilizar sus aplicaciones de Amazon Kinesis Data Analytics para SQL. A partir de ese momento, el servicio de soporte de Amazon Kinesis Data Analytics para SQL dejará de estar disponible. Para obtener más información, consulte [Retirada de las aplicaciones de Amazon Kinesis Data Analytics para SQL](discontinuation.md).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de políticas basadas en identidad (políticas de IAM) para
Los siguientes ejemplos de políticas basadas en identidad muestran cómo un administrador de la cuenta puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y roles) y, por lo tanto, conceder permisos para realizar operaciones en recursos.
**importante**
Le recomendamos que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de . Para obtener más información, consulte [Información general sobre la administración de los permisos de acceso a los recursos de](access-control-overview.md).
**Topics**
+ [Permisos necesarios para usar la consola de](#console-permissions)
+ [Políticas administradas (predefinidas) por Amazon para](#access-policy-aws-managed-policies)
+ [Ejemplos de políticas administradas por el cliente](#access-policy-customer-managed-examples)
A continuación se muestra un ejemplo de una política de permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1473028104000",
"Effect": "Allow",
"Action": [
"kinesisanalytics:CreateApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
La política tiene una declaración:
+ La primera declaración concede permisos para una acción (`kinesisanalytics:CreateApplication`) en un recurso que utiliza el nombre de recurso de Amazon (ARN) para la aplicación. El ARN en este caso especifica un comodín (\$1) para indicar que el permiso se concede para cualquier recurso.
Para ver una tabla con todas las operaciones de la API y los recursos a los que se aplican, consulte [Permisos de la API: referencia de acciones, permisos y recursos](api-permissions-reference.md).
## Permisos necesarios para usar la consola de
En el caso de un usuario que trabaja con la consola de , debe conceder los permisos necesarios. Por ejemplo, si desea conceder que un usuario tenga permisos para crear una aplicación, conceda permisos que le mostrarán los orígenes de streaming en la cuenta para que este pueda configurar la entrada y la salida de la consola.
Le recomendamos lo siguiente:
+ Utilice políticas administradas de Amazon para conceder los permisos de usuario. Para conocer las políticas disponibles, consulte [Políticas administradas (predefinidas) por Amazon para](#access-policy-aws-managed-policies).
+ Cree políticas personalizadas. En este caso, le recomendamos que revise los ejemplos proporcionados en esta sección. Para obtener más información, consulte [Ejemplos de políticas administradas por el cliente](#access-policy-customer-managed-examples).
## Políticas administradas (predefinidas) por Amazon para
AWS aborda muchos casos de uso comunes al proporcionar políticas de IAM independientes que son creadas y administradas por. AWS Estas políticas administradas por Amazon conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos necesarios. Para más información, consulte [Políticas administradas de Amazon](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
Las siguientes políticas administradas por Amazon, que se pueden adjuntar a los usuarios de la cuenta, son específicas de:
+ **`AmazonKinesisAnalyticsReadOnly`**— Otorga permisos para realizar acciones que permiten al usuario enumerar las aplicaciones y revisar input/output la configuración. También concede permisos para que un usuario pueda ver una lista de flujos de Kinesis y de flujos de entrega de Firehose. Dado que aplicación está en ejecución, el usuario puede ver los datos de origen y los resultados de análisis en tiempo real en la consola.
+ **`AmazonKinesisAnalyticsFullAccess`**: otorga permisos para todas las acciones y todos los demás permisos que permiten a un usuario crear y administrar aplicaciones. Sin embargo, tenga en cuenta lo siguiente:
+ Estos permisos no son suficientes si el usuario quiere crear un rol de IAM en la consola (con estos permisos el usuario puede seleccionar un rol existente). Si desea que el usuario pueda crear un rol de IAM en la consola, añada la política administrada de Amazon `IAMFullAccess`.
+ Un usuario debe tener permiso para que acción `iam:PassRole` pueda especificar un rol de IAM al configurar la aplicación. Esta política administrada de Amazon concede al usuario permiso para la acción `iam:PassRole` solo en los roles de IAM que empiecen con el prefijo `service-role/kinesis-analytics`.
Si el usuario quiere configurar la aplicación con un rol que no tenga este prefijo, en primer lugar deberá conceder permisos de forma explícita al usuario para la acción `iam:PassRole` del rol específico.
También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las acciones y recursos de . Puede asociar estas políticas personalizadas a los usuarios o grupos de que requieran esos permisos.
## Ejemplos de políticas administradas por el cliente
Los ejemplos que aparecen en esta sección muestran un grupo de políticas de ejemplo que puede asociar a un usuario. Si es la primera vez que crea una política, le recomendamos que cree primer lugar un usuario en su cuenta. A continuación, asocie las políticas al usuario por orden, según se detalla en los pasos de esta sección. Luego, podrá utilizar la consola para comprobar los efectos de cada política a medida que la asigna al usuario.
En un primer momento como el usuario no tiene permisos no puede hacer nada en la consola. Al asociar políticas al usuario, podrá verificar que este pueda realizar diversas acciones en la consola.
Le recomendamos que utilice dos ventanas de navegador. En una ventana, cree el usuario y conceda permisos. En la otra, inicie sesión Consola de administración de AWS con las credenciales del usuario y verifique los permisos a medida que los concede.
Para ver ejemplos que ilustran cómo crear un rol de IAM que puede utilizar como rol de ejecución en la aplicación, consulte [Creación de roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) en la *Guía del usuario de IAM*.
**Topics**
+ [Paso 1: Crear un usuario de IAM](#console-permissions-createuser)
+ [Paso 2: conceder permisos al usuario para acciones que no son específicas de](#console-permissions-grant-non-ka-permissions)
+ [Paso 3: Permitir que el usuario vea una lista de aplicaciones y los detalles](#console-permissions-grant-list-applications)
+ [Paso 4: Permitir que el usuario inicie aplicaciones específicas](#console-permissions-start-app)
+ [Paso 5: Permitir que el usuario cree una aplicación de](#console-permissions-grant-create-applications)
+ [Paso 6: permitir a la aplicación utilizar el procesamiento previo de Lambda](#console-permissions-grant-lambda)
### Paso 1: Crear un usuario de IAM
En primer lugar, cree un usuario de IAM, añádalo a un grupo de IAM con permisos administrativos y, a continuación, conceda permisos administrativos al usuario que ha creado. A continuación, podrás acceder AWS mediante una URL especial y las credenciales de ese usuario.
Para obtener instrucciones, consulte [Creación de su primer grupo de administradores y usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) en la *Guía del usuario de IAM*.
### Paso 2: conceder permisos al usuario para acciones que no son específicas de
En primer lugar, conceda permiso a un usuario para todas las acciones que no son específicas de y que el usuario necesitará para trabajar con aplicaciones de . Estos incluyen permisos para trabajar con transmisiones (acciones de Amazon Kinesis Data Streams, acciones de Amazon Data Firehose) y permisos para acciones. CloudWatch Asigne la siguiente política al usuario.
Es necesario actualizar la política proporcionando un nombre de rol de IAM para el que desea conceder el permiso `iam:PassRole` o especificar un carácter comodín (\$1) para indicar todos los roles de IAM. Esto no es una práctica segura, pero no puede crear un rol de IAM específico durante esta prueba.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesis:CreateStream",
"kinesis:DeleteStream",
"kinesis:DescribeStream",
"kinesis:ListStreams",
"kinesis:PutRecord",
"kinesis:PutRecords"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:ListDeliveryStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:GetLogEvents",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:ListPolicyVersions",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/service-role/role-name"
}
]
}
```
------
### Paso 3: Permitir que el usuario vea una lista de aplicaciones y los detalles
La siguiente política concede a un usuario los siguientes permisos:
+ Permiso de la acción `kinesisanalytics:ListApplications` para que el usuario pueda ver una lista de aplicaciones. Se trata de una llamada a la API en el nivel de servicio y, por tanto, especifique"\$1" como valor de `Resource`.
+ Permiso de la acción `kinesisanalytics:DescribeApplication` para que pueda obtener información acerca de cualquiera de las aplicaciones.
Añada esta política para el usuario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:ListApplications"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:DescribeApplication"
],
"Resource": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/*"
}
]
}
```
------
Verifique estos permisos iniciando sesión en la consola con las credenciales de usuario.
### Paso 4: Permitir que el usuario inicie aplicaciones específicas
Si desea que el usuario pueda iniciar una de las aplicaciones de existentes, asocie la siguiente política al usuario. La política proporciona el permiso para la acción `kinesisanalytics:StartApplication`. Debe actualizar la política proporcionando su ID de cuenta, AWS región y nombre de la aplicación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:StartApplication"
],
"Resource": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/application-name"
}
]
}
```
------
### Paso 5: Permitir que el usuario cree una aplicación de
Si desea que el usuario cree una aplicación de , a continuación puede asociar la política siguiente al usuario. Debe actualizar la política y proporcionar una AWS región, su ID de cuenta y un nombre de aplicación específico que desee que cree el usuario o un «\$1» para que el usuario pueda especificar cualquier nombre de aplicación (y así crear varias aplicaciones).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1473028104000",
"Effect": "Allow",
"Action": [
"kinesisanalytics:CreateApplication"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:StartApplication",
"kinesisanalytics:UpdateApplication",
"kinesisanalytics:AddApplicationInput",
"kinesisanalytics:AddApplicationOutput"
],
"Resource": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/application-name"
}
]
}
```
------
### Paso 6: permitir a la aplicación utilizar el procesamiento previo de Lambda
Si desea que la aplicación pueda utilizar el procesamiento previo de Lambda, asocie la siguiente política al rol.
```
{
"Sid": "UseLambdaFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": ""
}
```