AWS Data Pipeline 不再向新客户提供。的现有客户 AWS Data Pipeline 可以继续照常使用该服务。了解更多
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的策略示例 AWS Data Pipeline
以下示例演示如何授予用户对管道的完全或受限访问权限。
示例 1:基于标签授予用户只读访问权限
以下策略允许用户使用只读 AWS Data Pipeline API 操作,但仅限于标有 “环境=生产” 标签的管道。
ListPipelines API 操作不支持基于标签的授权。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datapipeline:Describe*",
"datapipeline:GetPipelineDefinition",
"datapipeline:ValidatePipelineDefinition",
"datapipeline:QueryObjects"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"datapipeline:Tag/environment": "production"
}
}
}
]
}
示例 2:基于标签授予用户完全访问权限
以下策略允许用户使用所有 AWS Data Pipeline API 操作,但仅限于标有 “en ListPipelines vironment=test” 标签的管道。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datapipeline:*"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"datapipeline:Tag/environment": "test"
}
}
}
]
}
示例 3:授予管道所有者完全访问权限
以下策略允许用户使用所有 AWS Data Pipeline API 操作,但只能使用自己的管道。
示例 4:向用户授予 AWS Data Pipeline 控制台访问权限
以下策略允许用户使用 AWS Data Pipeline
控制台创建和管理管道。
该策略包括针对与该 AWS Data Pipeline 需求相关的特定资源的PassRole权限roleARN的操作。有关基于身份 (IAM) 的PassRole权限的更多信息,请参阅博客文章授予使用 IAM 角色启动 EC2 实例的PassRole权限(权限)。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"cloudwatch:*",
"datapipeline:*",
"dynamodb:DescribeTable",
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:ListInstance*",
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:GetInstanceProfile",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListInstanceProfiles",
"iam:ListInstanceProfilesForRole",
"iam:ListRoles",
"rds:DescribeDBInstances",
"rds:DescribeDBSecurityGroups",
"redshift:DescribeClusters",
"redshift:DescribeClusterSecurityGroups",
"s3:List*",
"sns:ListTopics"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": "iam:PassRole",
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/DataPipelineDefaultResourceRole",
"arn:aws:iam::*:role/DataPipelineDefaultRole"
]
}
]
}
