の IAM ロール AWS Data Pipeline - AWS Data Pipeline
AWS Data Pipeline ロールのアクセス許可ポリシーの例の IAM ロールの作成 AWS Data Pipeline とロールのアクセス許可の編集既存のパイプラインのロールの変更

AWS Data Pipeline は新規顧客には利用できなくなりました。の既存のお客様は、通常どおりサービスを AWS Data Pipeline 引き続き使用できます。詳細はこちら

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の IAM ロール AWS Data Pipeline

AWS Data Pipeline は AWS Identity and Access Management ロールを使用します。IAM ロールにアタッチされたアクセス許可ポリシーによって、実行できるアクション AWS Data Pipeline とアプリケーション、および AWS アクセスできるリソースが決まります。詳細については、「IAM ユーザーガイド」の「IAM ロール」を参照してください。

AWS Data Pipeline には 2 つの IAM ロールが必要です。

  • パイプラインロールは、AWS リソース AWS Data Pipeline へのアクセスを制御します。パイプラインオブジェクト定義では、role フィールドによってこのロールが指定されます。

  • EC2 インスタンスロールは、Amazon EMR クラスターの EC2 インスタンスを含む EC2 インスタンスで実行されているアプリケーションが AWS リソースに対して持つアクセスを制御します。パイプラインオブジェクト定義では、resourceRole フィールドによってこのロールが指定されます。

重要

デフォルトのロールを持つ AWS Data Pipeline コンソールを使用して 2022 年 10 月 3 日より前にパイプラインを作成した場合は、 DataPipelineDefaultRole AWS Data Pipeline を作成し、AWSDataPipelineRole管理ポリシーをロールにアタッチします。2022 年 10 月 3 日から、AWSDataPipelineRole マネージドポリシーは廃止され、コンソールを使用するときにパイプラインのパイプラインロールを指定する必要があります。

既存のパイプラインを確認し、DataPipelineDefaultRole がパイプラインと関連付けられているかどうか、および AWSDataPipelineRole がそのロールにアタッチされているかどうかを判別することをお勧めします。満たされている場合は、このポリシーで許可されているアクセス権限を確認して、セキュリティ要件に適したものになっていることを確認してください。必要に応じて、このロールにアタッチされたポリシーおよびポリシーステートメントを追加、更新、または置換します。または、パイプラインを更新して、異なるアクセス許可ポリシーで作成したロールを使用することもできます。

AWS Data Pipeline ロールのアクセス許可ポリシーの例

各ロールには、そのロールがアクセスできる AWS リソースおよびそのロールが実行できるアクションを決定する 1 つ以上のアクセス許可ポリシーがアタッチされています。このトピックでは、パイプラインロールのアクセス許可ポリシーの例を示します。また、デフォルトの EC2 インスタンスロール DataPipelineDefaultResourceRole のマネージドポリシーである AmazonEC2RoleforDataPipelineRole のコンテンツも示します。

パイプラインロールのアクセス許可ポリシーの例

次のポリシー例は、 が Amazon EC2 および Amazon EMR リソースでパイプラインを実行する AWS Data Pipeline ために必要な必須関数を許可するようにスコープされています。また、多くのパイプラインが必要とする Amazon Simple Storage Service や Amazon Simple Notification Service などの他の AWS リソースにアクセスするためのアクセス許可も提供します。パイプラインで定義されたオブジェクトに AWS サービスのリソースが必要ない場合は、そのサービスにアクセスするためのアクセス許可を削除することを強くお勧めします。例えば、パイプラインで DynamoDBDataNode が定義されておらず、SnsAlarm アクションを使用していない場合、それらのアクションの許可ステートメントを削除することをお勧めします。

  • を AWS アカウント ID 111122223333に置き換えます。

  • NameOfDataPipelineRole を、パイプラインロール (このポリシーがアタッチされているロール) の名前に置き換えます。

  • NameOfDataPipelineResourceRole を、EC2 インスタンスロールの名前に置き換えます。

  • us-west-1 を、アプリケーションに適したリージョンに置き換えます。

EC2 インスタンスロールのデフォルトマネージドポリシー

AmazonEC2RoleforDataPipelineRole のコンテンツを以下に示します。これは、 のデフォルトのリソースロールにアタッチされた AWS Data PipelineマネージドポリシーですDataPipelineDefaultResourceRole。パイプラインのリソースロールを定義するときは、このアクセス許可ポリシーから始めて、不要な AWS サービスアクションのアクセス許可を削除することをお勧めします。

ポリシーのバージョン 3 を示します。これは、この執筆時点での最新のバージョンです。IAM コンソールを使用して、ポリシーの最新バージョンを表示します。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [{
      "Effect": "Allow",
      "Action": [
        "cloudwatch:*",
        "datapipeline:*",
        "dynamodb:*",
        "ec2:Describe*",
        "elasticmapreduce:AddJobFlowSteps",
        "elasticmapreduce:Describe*",
        "elasticmapreduce:ListInstance*",
        "elasticmapreduce:ModifyInstanceGroups",
        "rds:Describe*",
        "redshift:DescribeClusters",
        "redshift:DescribeClusterSecurityGroups",
        "s3:*",
        "sdb:*",
        "sns:*",
        "sqs:*"
      ],
      "Resource": ["*"]
    }]
}

の IAM ロールの作成 AWS Data Pipeline とロールのアクセス許可の編集

IAM コンソール AWS Data Pipeline を使用して のロールを作成するには、次の手順に従います。このプロセスは次の 2 つのステップで構成されています。まず、ロールにアタッチするアクセス許可ポリシーを作成します。次に、ロールを作成して、ポリシーをアタッチします。ロールを作成した後、アクセス許可ポリシーをアタッチおよびデタッチして、ロールのアクセス許可を変更できます。

注記

以下で説明するように、コンソール AWS Data Pipeline を使用して 用のロールを作成すると、IAM はロールに必要な適切な信頼ポリシーを作成してアタッチします。

のロールで使用するアクセス許可ポリシーを作成するには AWS Data Pipeline

  1. https://console.aws.amazon.com/iam/ で IAM コンソール を開きます。

  2. ナビゲーションペインで ポリシーを選択してから ポリシーの作成を選択します。

  3. [JSON] タブを選択します。

  4. パイプラインロールを作成する場合は、パイプラインロールのアクセス許可ポリシーの例のポリシーの例のコンテンツをコピーして貼り付け、セキュリティ要件に応じて適宜編集します。または、カスタム EC2 インスタンスロールを作成する場合は、EC2 インスタンスロールのデフォルトマネージドポリシーの例と同様にします。

  5. [ポリシーの確認] を選択します。

  6. ポリシーの名前 (例えば、MyDataPipelineRolePolicy) とオプションの [Description] (説明) を入力してから、[Create policy] (ポリシーの作成) を選択します。

  7. ポリシーの名前をメモします。これは、ロールを作成するときに必要になります。

の IAM ロールを作成するには AWS Data Pipeline

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles] (ロール) を選択し、続いて [Create Role] (ロールの作成) を選択します。

  3. [Choose a use case] (ユースケースの選択) で、[Data Pipeline] を選択します。

  4. [Select your use case] (ユースケースの選択) で、次のいずれかを実行します。

    • Data Pipeline を選択して、パイプラインロールを作成します。

    • EC2 Role for Data Pipeline を選択して、リソースロールを作成します。

  5. [Next: Permissions] (次のステップ: 許可) を選択します。

  6. のデフォルトポリシー AWS Data Pipeline が一覧表示されている場合は、次の手順に進んでロールを作成し、次の手順の指示に従って編集します。それ以外の場合は、上記の手順で作成したポリシーの名前を入力し、リストからそのポリシーを選択します。

  7. [Next: Tags] (次へ: タグ) を選択し、ロールに追加するタグを入力してから、[Next: Review] (次へ: 確認) を選択します。

  8. ロールの名前 (例えば、MyDataPipelineRole) とオプションの [Description] (説明) を入力してから、[Create role] (ロールの作成) を選択します。

の IAM ロールのアクセス許可ポリシーをアタッチまたはデタッチするには AWS Data Pipeline

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles] (ロール) を選択します。

  3. 検索ボックスで、編集するロールの名前 (例えば、DataPipelineDefaultRoleMyDataPipelineRole) を入力していき、リストから [Role name] (ロール名) を選択します。

  4. [Permissions] (アクセス許可) タブで、以下を実行します。

    • アクセス許可ポリシーをデタッチするには、[Permissions policies] (アクセス許可ポリシー) で、ポリシーエントリの右端にある削除ボタンを選択します。確認を求められたら、[Detach] (デタッチ) を選択します。

    • 前に作成したポリシーをアタッチするには、[Attach policies] (ポリシーをアタッチします) を選択します。検索ボックスで、編集するポリシーの名前を入力していき、リストからポリシーを選択し、[Attach policy] (ポリシーのアタッチ) を選択します。

既存のパイプラインのロールの変更

別のパイプラインロールまたはリソースロールをパイプラインに割り当てる場合は、 AWS Data Pipeline コンソールでアーキテクトエディタを使用できます。

コンソールを使用してパイプラインに割り当てられているロールを編集するには

  1. https://console.aws.amazon.com/datapipeline/ で AWS Data Pipeline コンソールを開きます。

  2. リストからパイプラインを選択し、[Actions] (アクション)、[Edit] (編集) を選択します。

  3. アーキテクトエディタの右ペインで、[Others] (その他) を選択します。

  4. リソースロールロールリストから、割り当て AWS Data Pipeline るロールを選択し、保存を選択します。