Amazon Managed Service for Apache Flink (Amazon MSF) は、以前は Amazon Kinesis Data Analytics for Apache Flink と呼ばれていました。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Managed Service for Apache Flink Studio ノートブックのカスタム IAM ポリシーを作成する
通常、マネージド IAM ポリシーを使用して、アプリケーションが依存リソースにアクセスできるようにします。アプリケーションの権限をより細かく制御する必要がある場合は、カスタム IAM ポリシーを使用できます。このセクションには、カスタム IAM ポリシーの例が含まれています。
注記
次のポリシーの例では、プレースホルダーテキストをアプリケーションの値に置き換えます。
このトピックには、次のセクションが含まれています。
AWS Glue
次のポリシー例では、 AWS Glue データベースにアクセスするためのアクセス許可を付与します。
CloudWatch Logs
次のポリシーの例では、CloudWatch Logs に対するアクセス許可が付与されます。
{ "Sid": "ListCloudwatchLogGroups", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:<region>:<accountId>:log-group:*" ] }, { "Sid": "ListCloudwatchLogStreams", "Effect": "Allow", "Action": [ "logs:DescribeLogStreams" ], "Resource": [ "<logGroupArn>:log-stream:*" ] }, { "Sid": "PutCloudwatchLogs", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "<logStreamArn>" ] }
注記
コンソールを使用してアプリケーションを作成した場合、コンソールは CloudWatch Logs にアクセスするために必要なポリシーをアプリケーションのロールに追加します。
Kinesis Streams
アプリケーションは、ソースまたはデスティネーションに Kinesis Stream を使用できます。アプリケーションには、ソースストリームから読み取るための読み取り許可と、デスティネーションストリームに書き込むための書き込み許可が必要です。
以下のポリシーは、ソースとして使用される Kinesis Stream からの読み取り権限を付与します。
次のポリシーは、デスティネーションとして使用される Kinesis Stream への書き込み権限を付与します。
アプリケーションが暗号化された Kinesis ストリームにアクセスする場合、ストリームとストリームの暗号化キーにアクセスするための追加権限を付与する必要があります。
次のポリシーは、暗号化されたソースストリームとストリームの暗号化キーへのアクセス権限を付与します。
{ "Sid": "ReadEncryptedKinesisStreamSource", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "<inputStreamKeyArn>" ] } ,
次のポリシーは、暗号化されたデスティネーションストリームとストリームの暗号化キーへのアクセス権限を付与します。
{ "Sid": "WriteEncryptedKinesisStreamSink", "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": [ "<outputStreamKeyArn>" ] }
Amazon MSK クラスター
Amazon MSK クラスターへのアクセスを許可するには、クラスターの VPC へのアクセスを許可します。Amazon VPC にアクセスするためのポリシーの例については、「VPC Application Permissions」を参照してください。
