Peran layanan untuk AWS HealthOmics - AWS HealthOmics
Contoh kebijakan layanan IAMContoh AWS CloudFormation template

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran layanan untuk AWS HealthOmics

Peran layanan adalah peran AWS Identity and Access Management (IAM) yang memberikan izin bagi AWS layanan untuk mengakses sumber daya di akun Anda. Anda memberikan peran layanan AWS HealthOmics saat memulai pekerjaan impor atau memulai proses.

HealthOmics Konsol dapat membuat peran yang diperlukan untuk Anda. Jika Anda menggunakan HealthOmics API untuk mengelola sumber daya, buat peran layanan menggunakan konsol IAM. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke. Layanan AWS

Peran layanan harus memiliki kebijakan kepercayaan berikut.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "omics.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Kebijakan kepercayaan memungkinkan HealthOmics layanan untuk mengambil peran.

Contoh kebijakan layanan IAM

Dalam contoh ini, nama sumber daya dan akun IDs adalah placeholder untuk Anda ganti dengan nilai aktual.

Contoh berikut menunjukkan kebijakan untuk peran layanan yang dapat Anda gunakan untuk memulai proses. Kebijakan ini memberikan izin untuk mengakses lokasi keluaran Amazon S3, grup log alur kerja, dan container Amazon ECR untuk dijalankan.

catatan

Jika Anda menggunakan caching panggilan untuk menjalankan, tambahkan cache jalankan lokasi Amazon S3 sebagai sumber daya di izin s3.

contoh Kebijakan peran layanan untuk memulai proses
JSON
{
"Version": "2012-10-17",
"Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:GetObject",
              "s3:PutObject"
          ],
          "Resource": [
              "arn:aws:s3:::amzn-s3-demo-bucket1/*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::amzn-s3-demo-bucket1"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "logs:DescribeLogStreams",
              "logs:CreateLogStream",
              "logs:PutLogEvents"
          ],
          "Resource": [
              "arn:aws:logs:us-east-1:123456789012:log-group:/aws/omics/WorkflowLog:log-stream:*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "logs:CreateLogGroup"
          ],
          "Resource": [
              "arn:aws:logs:us-east-1:123456789012:log-group:/aws/omics/WorkflowLog:*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "ecr:BatchGetImage",
              "ecr:GetDownloadUrlForLayer",
              "ecr:BatchCheckLayerAvailability"
          ],
          "Resource": [
              "arn:aws:ecr:us-east-1:123456789012:repository/*"
          ]
      }
    ]
}

Contoh berikut menunjukkan kebijakan untuk peran layanan yang dapat Anda gunakan untuk pekerjaan impor toko. Kebijakan ini memberikan izin untuk mengakses lokasi input Amazon S3.

contoh Peran layanan untuk pekerjaan toko Referensi
JSON
{
"Version": "2012-10-17",
"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        },

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }

    ]
}

Contoh AWS CloudFormation template

Contoh AWS CloudFormation template berikut membuat peran layanan yang memberikan HealthOmics izin untuk mengakses bucket Amazon S3 yang memiliki nama yang diawali denganomics-, dan untuk mengunggah log alur kerja.

contoh Izin toko referensi, Amazon S3, dan CloudWatch Log
Parameters:
  bucketName:
    Description: Bucket name
    Type: String
    
Resources:
  serviceRole:
    Type: AWS::IAM::Role
    Properties:
      Policies:
        - PolicyName: read-reference
          PolicyDocument:
            Version: 2012-10-17
            Statement:
            - Effect: Allow
              Action:
                - omics:*
              Resource: !Sub arn:${AWS::Partition}:omics:${AWS::Region}:${AWS::AccountId}:referenceStore/*
        - PolicyName: read-s3
          PolicyDocument:
            Version: 2012-10-17
            Statement:
            - Effect: Allow
              Action: 
                - s3:ListBucket
              Resource: !Sub arn:${AWS::Partition}:s3:::${bucketName}
            - Effect: Allow
              Action:
                - s3:GetObject
                - s3:PutObject
              Resource: !Sub arn:${AWS::Partition}:s3:::${bucketName}/*
        - PolicyName: upload-logs
          PolicyDocument:
            Version: 2012-10-17
            Statement:
            - Effect: Allow
              Action: 
                - logs:DescribeLogStreams
                - logs:CreateLogStream
                - logs:PutLogEvents
              Resource: !Sub arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:loggroup:/aws/omics/WorkflowLog:log-stream:*
            - Effect: Allow
              Action: 
                - logs:CreateLogGroup
              Resource: !Sub arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:loggroup:/aws/omics/WorkflowLog:*
      AssumeRolePolicyDocument: |
        {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": [
                "sts:AssumeRole"
              ],
              "Effect": "Allow",
              "Principal": {
                "Service": [
                  "omics.amazonaws.com"
                ]
              }
            }
          ]
        }