Konfigurieren von erweiterten Einstellungen

Der folgende Abschnitt enthält Details zu den erweiterten Einstellungen für Ihren Firehose-Stream.

• Serverseitige Verschlüsselung — Amazon Data Firehose unterstützt die serverseitige Amazon S3-Verschlüsselung mit AWS Key Management Service (AWS KMS) für die Verschlüsselung von bereitgestellten Daten in Amazon S3. Weitere Informationen finden Sie unter Schutz von Daten mithilfe serverseitiger Verschlüsselung mit verwalteten Schlüsseln AWS KMS (-). SSE KMS

• Fehlerprotokollierung — Amazon Data Firehose protokolliert Fehler im Zusammenhang mit der Verarbeitung und Lieferung. Wenn die Datentransformation aktiviert ist, kann sie außerdem Lambda-Aufrufe protokollieren und Fehler bei der Datenübermittlung an Logs senden. CloudWatch Weitere Informationen finden Sie unter Amazon Data Firehose mithilfe von CloudWatch Protokollen überwachen.

  Wichtig

  Obwohl optional, wird dringend empfohlen, die Amazon Data Firehose-Fehlerprotokollierung während Firehose Firehose-Stream-Erstellung zu aktivieren. Diese Vorgehensweise stellt sicher, dass Sie im Falle von Fehlern bei der Verarbeitung oder Übermittlung von Datensätzen auf Fehlerdetails zugreifen können.

• Berechtigungen — Amazon Data Firehose verwendet IAM Rollen für alle Berechtigungen, die der Firehose-Stream benötigt. Sie können wählen, ob Sie eine neue Rolle erstellen, bei der die erforderlichen Berechtigungen automatisch zugewiesen werden, oder eine bestehende Rolle wählen, die für Amazon Data Firehose erstellt wurde. Die Rolle wird verwendet, um Firehose Zugriff auf verschiedene Dienste zu gewähren, darunter Ihren S3-Bucket, Ihren AWS KMS Schlüssel (wenn die Datenverschlüsselung aktiviert ist) und die Lambda-Funktion (wenn die Datentransformation aktiviert ist). Die Konsole erstellt möglicherweise eine Rolle mit Platzhaltern. Weitere Informationen finden Sie unter Was ist? IAM .

  Anmerkung

  Die IAM Rolle (einschließlich Platzhalter) wird auf der Grundlage der Konfiguration erstellt, die Sie beim Erstellen eines Firehose-Streams ausgewählt haben. Wenn Sie Änderungen an der Quelle oder dem Ziel Firehose Firehose-Streams vornehmen, müssen Sie die IAM Rolle manuell aktualisieren.

• Tags — Sie können Tags hinzufügen, um Ihre AWS Ressourcen zu organisieren, Kosten zu verfolgen und den Zugriff zu kontrollieren.

  Wenn Sie in der CreateDeliveryStream Aktion Tags angeben, führt Amazon Data Firehose eine zusätzliche Autorisierung für die firehose:TagDeliveryStream Aktion durch, um zu überprüfen, ob Benutzer berechtigt sind, Tags zu erstellen. Wenn Sie diese Berechtigung nicht erteilen, schlagen Anfragen zum Erstellen neuer Firehose-Streams mit IAM Ressourcen-Tags fehl, und zwar mit einem AccessDeniedException solchen Fehler wie dem Folgenden.

  AccessDeniedException 
  User: arn:aws:sts::x:assumed-role/x/x is not authorized to perform: firehose:TagDeliveryStream on resource: arn:aws:firehose:us-east-1:x:deliverystream/x with an explicit deny in an identity-based policy.

  Das folgende Beispiel zeigt eine Richtlinie, die es Benutzern ermöglicht, einen Firehose-Stream zu erstellen und Tags anzuwenden.

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": "firehose:CreateDeliveryStream",
              "Resource": "*",
              }
          },
          {
              "Effect": "Allow",
              "Action": "firehose:TagDeliveryStream",
              "Resource": "*",
              }
          }
      ]
  }

Nachdem Sie Ihr Backup und Ihre erweiterten Einstellungen ausgewählt haben, überprüfen Sie Ihre Auswahl und wählen Sie dann Firehose-Stream erstellen.

Der neue Firehose-Stream benötigt im Status Creating einen Moment, bis er verfügbar ist. Sobald sich Ihr Firehose-Stream im Status Aktiv befindet, können Sie damit beginnen, Daten von Ihrem Producer an ihn zu senden.