Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruoli di servizio per AWS HealthOmics
Un ruolo di servizio è un ruolo AWS Identity and Access Management (IAM) che concede le autorizzazioni affinché un AWS servizio acceda alle risorse del tuo account. Assegni un ruolo di servizio a AWS HealthOmics quando avvii un processo di importazione o inizi un'esecuzione.
La HealthOmics console può creare il ruolo richiesto per te. Se utilizzi l' HealthOmics API per gestire le risorse, crea il ruolo di servizio utilizzando la console IAM. Per ulteriori informazioni, consulta Creare un ruolo per delegare le autorizzazioni a un. Servizio AWS
I ruoli di servizio devono avere la seguente politica di attendibilità.
La politica di fiducia consente al HealthOmics servizio di assumere il ruolo.
Esempi di politiche di servizio IAM
In questi esempi, i nomi delle risorse e gli account IDs sono segnaposto da sostituire con valori effettivi.
L'esempio seguente mostra la politica per un ruolo di servizio che è possibile utilizzare per avviare un'esecuzione. La policy concede le autorizzazioni per accedere alla posizione di output di Amazon S3, al gruppo di log del flusso di lavoro e al contenitore Amazon ECR per l'esecuzione.
Nota
Se utilizzi la memorizzazione nella cache delle chiamate per l'esecuzione, aggiungi la posizione di run cache Amazon S3 come risorsa nelle autorizzazioni s3.
Esempio Politica del ruolo di servizio per l'avvio di un'esecuzione
L'esempio seguente mostra la politica per un ruolo di servizio che è possibile utilizzare per un processo di importazione da un negozio. La policy concede le autorizzazioni per accedere alla posizione di input di Amazon S3.
Esempio Ruolo di servizio per Reference Store Job
AWS CloudFormation Modello di esempio
Il seguente AWS CloudFormation modello di esempio crea un ruolo di servizio che HealthOmics autorizza ad accedere ai bucket Amazon S3 con nomi preceduti da e a caricare i log del omics- flusso di lavoro.
Esempio Autorizzazioni Reference Store, Amazon S3 e CloudWatch Logs
Parameters: bucketName: Description: Bucket name Type: String Resources: serviceRole: Type: AWS::IAM::Role Properties: Policies: - PolicyName: read-reference PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Action: - omics:* Resource: !Sub arn:${AWS::Partition}:omics:${AWS::Region}:${AWS::AccountId}:referenceStore/* - PolicyName: read-s3 PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Action: - s3:ListBucket Resource: !Sub arn:${AWS::Partition}:s3:::${bucketName} - Effect: Allow Action: - s3:GetObject - s3:PutObject Resource: !Sub arn:${AWS::Partition}:s3:::${bucketName}/* - PolicyName: upload-logs PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Action: - logs:DescribeLogStreams - logs:CreateLogStream - logs:PutLogEvents Resource: !Sub arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:loggroup:/aws/omics/WorkflowLog:log-stream:* - Effect: Allow Action: - logs:CreateLogGroup Resource: !Sub arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:loggroup:/aws/omics/WorkflowLog:* AssumeRolePolicyDocument: | { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Effect": "Allow", "Principal": { "Service": [ "omics.amazonaws.com" ] } } ] }
