Politiques IAM basées sur l'identité pour HealthOmics - AWS HealthOmics
Définissez des autorisations IAM personnalisées pour les exécutions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques IAM basées sur l'identité pour HealthOmics

Pour autoriser les utilisateurs de votre compte à accéder à HealthOmics, vous utilisez des politiques basées sur l'identité dans AWS Identity and Access Management (IAM). Les politiques basées sur l'identité peuvent s'appliquer directement aux utilisateurs IAM ou aux groupes et rôles IAM associés à un utilisateur. Vous pouvez également accorder aux utilisateurs d'un autre compte l'autorisation d'assumer un rôle dans votre compte et d'accéder à vos ressources HealthOmics.

Pour autoriser les utilisateurs à effectuer des actions sur une version de flux de travail, vous devez ajouter le flux de travail et la version de flux de travail spécifique à la liste des ressources.

La politique IAM suivante permet à un utilisateur d'accéder à toutes les actions de HealthOmics l'API et de leur transmettre des rôles de HealthOmics service.

Exemple Stratégie utilisateur
JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "omics:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "omics.amazonaws.com"
        }
      }
    }
  ]
}

Lorsque vous les utilisez HealthOmics, vous interagissez également avec d'autres AWS services. Pour accéder à ces services, utilisez les politiques gérées fournies par chaque service. Pour restreindre l'accès à un sous-ensemble de ressources, vous pouvez utiliser les politiques gérées comme point de départ pour créer vos propres politiques plus restrictives.

Les politiques précédentes n'autorisent pas un utilisateur à créer des rôles IAM. Pour qu'un utilisateur disposant de ces autorisations puisse exécuter une tâche, un administrateur doit créer le rôle de service qui accorde l' HealthOmics autorisation d'accéder aux sources de données. Pour de plus amples informations, veuillez consulter Rôles de service pour AWS HealthOmics.

Définissez des autorisations IAM personnalisées pour les exécutions

Vous pouvez inclure n'importe quel flux de travail, exécution ou groupe d'exécution référencé par la StartRun demande dans une demande d'autorisation. Pour ce faire, listez la combinaison souhaitée de flux de travail, d'exécutions ou de groupes d'exécution dans la politique IAM. Par exemple, vous pouvez limiter l'utilisation d'un flux de travail à une exécution ou à un groupe d'exécution spécifique. Vous pouvez également spécifier qu'un flux de travail ne doit être utilisé qu'avec un groupe d'exécution.

Voici un exemple de politique IAM qui autorise un flux de travail unique avec un seul groupe d'exécution.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:workflow/1234567",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:StartRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*",
              "arn:aws:omics:us-west-2:123456789012:runGroup/2345678"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "omics:GetRun",
              "omics:ListRunTasks",
              "omics:GetRunTask",
              "omics:CancelRun",
              "omics:DeleteRun"
          ],
          "Resource": [
              "arn:aws:omics:us-west-2:123456789012:run/*"
          ]
      }     
  ]
}