As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Funções de serviço para AWS HealthOmics
Uma função de serviço é uma função AWS Identity and Access Management (IAM) que concede permissões para que um AWS serviço acesse recursos em sua conta. Você fornece uma função de serviço AWS HealthOmics ao iniciar um trabalho de importação ou iniciar uma execução.
O HealthOmics console pode criar a função necessária para você. Se você usa a HealthOmics API para gerenciar recursos, crie a função de serviço usando o console do IAM. Para obter mais informações, consulte Criar uma função para delegar permissões a um AWS service (Serviço da AWS).
As funções de serviço devem ter a seguinte política de confiança.
A política de confiança permite que o HealthOmics serviço assuma a função.
Exemplo de políticas de serviço do IAM
Nesses exemplos, nomes de recursos e contas IDs são espaços reservados para você substituir por valores reais.
O exemplo a seguir mostra a política de uma função de serviço que você pode usar para iniciar uma execução. A política concede permissões para acessar o local de saída do Amazon S3, o grupo de registros do fluxo de trabalho e o contêiner do Amazon ECR para a execução.
nota
Se você estiver usando o cache de chamadas para a execução, adicione a localização do cache de execução do Amazon S3 como um recurso nas permissões do s3.
exemplo Política de função de serviço para iniciar uma execução
O exemplo a seguir mostra a política de uma função de serviço que você pode usar para um trabalho de importação de loja. A política concede permissões para acessar o local de entrada do Amazon S3.
exemplo Função de serviço para trabalho na Reference Store
AWS CloudFormation Modelo de exemplo
O AWS CloudFormation modelo de exemplo a seguir cria uma função de serviço que dá HealthOmics permissão para acessar buckets do Amazon S3 que têm nomes prefixados comomics-, e para fazer upload de registros de fluxo de trabalho.
exemplo Permissões de armazenamento de referência, Amazon S3 e CloudWatch Logs
Parameters: bucketName: Description: Bucket name Type: String Resources: serviceRole: Type: AWS::IAM::Role Properties: Policies: - PolicyName: read-reference PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Action: - omics:* Resource: !Sub arn:${AWS::Partition}:omics:${AWS::Region}:${AWS::AccountId}:referenceStore/* - PolicyName: read-s3 PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Action: - s3:ListBucket Resource: !Sub arn:${AWS::Partition}:s3:::${bucketName} - Effect: Allow Action: - s3:GetObject - s3:PutObject Resource: !Sub arn:${AWS::Partition}:s3:::${bucketName}/* - PolicyName: upload-logs PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Action: - logs:DescribeLogStreams - logs:CreateLogStream - logs:PutLogEvents Resource: !Sub arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:loggroup:/aws/omics/WorkflowLog:log-stream:* - Effect: Allow Action: - logs:CreateLogGroup Resource: !Sub arn:${AWS::Partition}:logs:${AWS::Region}:${AWS::AccountId}:loggroup:/aws/omics/WorkflowLog:* AssumeRolePolicyDocument: | { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Effect": "Allow", "Principal": { "Service": [ "omics.amazonaws.com" ] } } ] }
