從主控台建立新的 IAM 角色 - Amazon Data Firehose

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從主控台建立新的 IAM 角色

或者,您也可以使用 Firehose 主控台代表您建立新的角色。

當 Firehose 代表您建立 IAM 角色時,該角色會自動包含根據 Firehose 串流組態授予所需許可的所有許可和信任政策。

例如,如果您未啟用具有 功能的轉換來源記錄 AWS Lambda,則主控台會在 許可政策中產生下列陳述式。

{
  "Sid": "lambdaProcessing",
  "Effect": "Allow",
   "Action": [
     "lambda:InvokeFunction",
     "lambda:GetFunctionConfiguration"
   ],
   "Resource": "arn:aws:lambda:us-east-1:<account id>:function:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
}
注意

您可以忽略包含 的政策陳述式,%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%因為它們不會授予任何資源的許可。

主控台建立和編輯 Firehose 串流工作流程也會建立信任政策,並將其連接到 IAM 角色。信任政策允許 Firehose 擔任 IAM 角色。以下是信任政策的範例。

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "firehoseAssume",
        "Effect": "Allow",
        "Principal": {
            "Service": "firehose.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}
重要

  • 您應避免針對多個 Firehose 串流使用相同的主控台受管 IAM 角色。否則,IAM 角色可能會過於寬鬆或導致錯誤。

  • 若要從主控台管理的 IAM 角色使用許可政策中的不同政策陳述式,您可以建立自己的 IAM 角色,並將政策陳述式複製到連接到新角色的許可政策。若要將角色連接至 Firehose 串流,請在服務存取中選取選擇現有的 IAM 角色選項。

  • 主控台會管理在其 ARN 中包含字串服務角色的任何 IAM 角色。當您選擇現有的 IAM 角色選項時,請務必選取在其 ARN 中沒有服務角色字串的 IAM 角色,讓主控台不會對其進行任何變更。

  1. 開啟位於 https://console.aws.amazon.com/firehose/ 的 Firehose 主控台。

  2. 選擇建立 Firehose 串流

  3. 選擇來源和目的地。如需詳細資訊,請參閱教學課程:從主控台建立 Firehose 串流

  4. 選擇目的地設定。如需詳細資訊,請參閱設定目的地設定

  5. 進階設定下,針對服務存取,選擇建立或更新 IAM 角色

    注意

    這是預設選項。若要使用現有角色,請選取選擇現有 IAM 角色選項。Firehose 主控台不會對您自己的角色進行任何變更。

  6. 選擇建立 Firehose 串流