如需與 Amazon Timestream for LiveAnalytics 類似的功能,請考慮使用 Amazon Timestream for InfluxDB。它提供簡化的資料擷取和單一位數毫秒查詢回應時間,以進行即時分析。[在這裡](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html)進一步了解。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Timestream for LiveAnalytics 如何與 IAM 搭配使用
在您使用 IAM 管理 Timestream for LiveAnalytics 的存取權之前,您應該了解哪些 IAM 功能可與 Timestream for LiveAnalytics 搭配使用。若要全面了解 Timestream for LiveAnalytics 和其他 AWS 服務如何與 IAM 搭配使用,請參閱《*IAM 使用者指南*》中的與 [AWS IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [LiveAnalytics 身分型政策的 Timestream](#security_iam_service-with-iam-id-based-policies)
+ [LiveAnalytics 資源型政策的 Timestream](#security_iam_service-with-iam-resource-based-policies)
+ [根據 Timestream for LiveAnalytics 標籤的授權](#security_iam_service-with-iam-tags)
+ [LiveAnalytics IAM 角色的 Timestream](#security_iam_service-with-iam-roles)
## LiveAnalytics 身分型政策的 Timestream
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。Timestream for LiveAnalytics 支援特定動作和資源,以及條件索引鍵。若要了解您在 JSON 政策中使用的所有元素,請參閱 *IAM 使用者指南*中的 [JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 動作
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
您可以在 IAM 政策陳述式的動作元素中指定下列動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用 動作時,通常會允許或拒絕存取具有相同名稱的 API 操作、CLI 命令或 SQL 命令。
在某些情況下,單一動作會控制對 API 操作和 SQL 命令的存取。或者,某些操作需要多種不同的動作。
如需 LiveAnalytics 支援之 Timestream 的清單`Action`,請參閱下表:
**注意**
對於所有資料庫特定的 `Actions`,您可以指定資料庫 ARN,將動作限制在特定資料庫。
| 動作 | 描述 | 存取層級 | 資源類型 (\$1必填項目) |
| --- | --- | --- | --- |
| DescribeEndpoint | 傳回必須對其提出後續請求的 Timestream 端點。 | 全部 | \$1 |
| Select | 在從一或多個資料表中選取資料的 Timestream 上執行查詢。[如需詳細說明,請參閱此備註](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues) | 讀取 | 資料表\$1 |
| CancelQuery | 取消查詢。 | 讀取 | \$1 |
| ListTables | 取得資料表清單。 | 清單 | 資料庫\$1 |
| ListDatabases | 取得資料庫清單。 | 清單 | \$1 |
| ListMeasures | 取得量值清單。 | 讀取 | 資料表\$1 |
| DescribeTable | 取得資料表描述。 | 讀取 | 資料表\$1 |
| DescribeDatabase | 取得資料庫描述。 | 讀取 | 資料庫\$1 |
| SelectValues | 執行不需要指定特定資源的查詢。[如需詳細說明,請參閱此備註](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues)。 | 讀取 | \$1 |
| WriteRecords | 將資料插入 Timestream。 | 寫入 | 資料表\$1 |
| CreateTable | 建立資料表。 | 寫入 | 資料庫\$1 |
| CreateDatabase | 建立資料庫。 | 寫入 | \$1 |
| DeleteDatabase | 刪除資料庫。 | 寫入 | \$1 |
| UpdateDatabase | 更新資料庫。 | 寫入 | \$1 |
| DeleteTable | 刪除資料表。 | 寫入 | 資料庫\$1 |
| UpdateTable | 更新資料表。 | 寫入 | 資料庫\$1 |
#### SelectValues 與 select:
`SelectValues` 是 `Action`,用於*不需要*資源的查詢。不需要資源的查詢範例如下:
```
SELECT 1
```
請注意,此查詢不會參考特定 Timestream for LiveAnalytics 資源。請考慮另一個範例:
```
SELECT now()
```
此查詢會傳回使用 `now()`函數的目前時間戳記,但不需要指定資源。 `SelectValues` 通常用於測試,因此 Timestream for LiveAnalytics 可以在沒有資源的情況下執行查詢。現在,請考慮`Select`查詢:
```
SELECT * FROM database.table
```
這種類型的查詢需要資源,具體而言是適用於 LiveAnalytics `table` 的 Timestream,以便可以從資料表擷取指定的資料。
### Resources
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
在 Timestream for LiveAnalytics 中,資料庫和資料表可用於 IAM 許可的 `Resource`元素。
Timestream for LiveAnalytics 資料庫資源具有下列 ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}
```
Timestream for LiveAnalytics 資料表資源具有下列 ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}/table/${TableName}
```
如需 ARNs 格式的詳細資訊,請參閱 [Amazon Resource Name (ARNs) AWS 和服務命名空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
例如,若要在陳述式中指定`database`金鑰空間,請使用下列 ARN:
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/mydatabase"
```
若要指定屬於特定帳戶的所有資料庫,請使用萬用字元 (\$1):
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/*"
```
有些 Timestream for LiveAnalytics 動作無法在特定資源上執行,例如用於建立資源的動作。在這些情況下,您必須使用萬用字元 (\$1)。
```
"Resource": "*"
```
### 條件索引鍵
LiveAnalytics 的 Timestream 不提供任何服務特定的條件金鑰,但支援使用一些全域條件金鑰。若要查看所有 AWS 全域條件金鑰,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 範例
若要檢視 Timestream for LiveAnalytics 身分型政策的範例,請參閱 [Amazon Timestream for LiveAnalytics 身分型政策範例](security_iam_id-based-policy-examples.md)。
## LiveAnalytics 資源型政策的 Timestream
LiveAnalytics 的 Timestream 不支援以資源為基礎的政策。若要檢視詳細資源類型政策頁面的範例,請參閱 [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)。
## 根據 Timestream for LiveAnalytics 標籤的授權
您可以使用標籤來管理 Timestream for LiveAnalytics 資源的存取。若要根據標籤管理資源存取,您可以使用 `aws:RequestTag/key-name`、 `timestream:ResourceTag/key-name`或 [條件索引鍵,在政策的條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供標籤資訊。 `aws:TagKeys`如需標記 Timestream for LiveAnalytics 資源的詳細資訊,請參閱 [將標籤新增至資源](tagging-keyspaces.md)。
若要檢視身分型政策範例,用於根據該資源的標籤來限制資源的存取權,請參閱「[根據標籤的 LiveAnalytics 資源存取時間串流](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags)」。
## LiveAnalytics IAM 角色的 Timestream
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您 AWS 帳戶中具有特定許可的實體。
### 搭配 Timestream for LiveAnalytics 使用臨時登入資料
您可以搭配聯合使用暫時憑證、擔任 IAM 角色,或是擔任跨帳戶角色。您可以透過呼叫 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 等 AWS STS API 操作來取得臨時安全登入資料。
### 服務連結角色
LiveAnalytics 的 Timestream 不支援服務連結角色。
### 服務角色
LiveAnalytics 的 Timestream 不支援服務角色。