Verwenden von kundenverwalteten Schlüsseln in Amazon MSF - Managed Service für Apache Flink

Amazon Managed Service for Apache Flink (Amazon MSF) war zuvor als Amazon Kinesis Data Analytics for Apache Flink bekannt.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von kundenverwalteten Schlüsseln in Amazon MSF

Bei der Einrichtung, Verwaltung und dem Betrieb von Amazon MSF-Anwendungen, die einer CMK-Richtlinie unterliegen, müssen Sie die folgenden Faktoren berücksichtigen.

Kundenverwalteter Schlüssel

Dies ist die wichtigste Richtlinie und das wichtigste Material. Sie müssen einen Schlüssel erstellen, der zur Verschlüsselung Ihres Anwendungsstatus im laufenden Anwendungsspeicher und im dauerhaften Anwendungsspeicher verwendet wird.

Operator für den Anwendungslebenszyklus (API-Aufrufer)

Dies ist der Operator IAM-Benutzer oder die IAM-Rolle. Der Operator kann ein Mensch oder eine Automatisierung sein, z. B. eine CI/CD Pipeline, die die Amazon MSF-Anwendung erstellt, bereitstellt und ausführt. Der Operator für den Anwendungslebenszyklus kann entweder eine IAM-Rolle oder ein Benutzer sein.

Anmerkung

Es ist möglich, dass der Schlüsseladministrator und der Operator dieselbe Person sind. In diesem Fall empfehlen wir, immer separate Rollen oder Benutzer zu verwenden.

Anwendung

Dies ist die Amazon MSF-Anwendung, die Sie erstellen. Die Rolle „Anwendungsausführung“ (IAM) erfordert keine Änderungen, um CMK verwenden zu können. Weitere Informationen zu IAM in Amazon MSF finden Sie unter. Identity and Access Management für Amazon Managed Service für Apache Flink

Abhängigkeiten zwischen Richtlinien

Es bestehen Interdependenzen zwischen der dem CMK zugewiesenen Schlüsselrichtlinie und der IAM-Richtlinie, die die Berechtigungen des Anwendungslebenszyklus-Operators definiert. Möglicherweise möchten Sie sie in der folgenden Reihenfolge erstellen:

  • Erstellen Sie den Operator-IAM-Benutzer oder die IAM-Rolle ohne die IAM-Richtlinie, die die Berechtigungen für CMK definiert. Der Operator erstellt die Anwendung mit AOK.

  • Erstellen Sie den Schlüsseladministrator mit Berechtigungen zur Verwaltung von KMS-Schlüsseln. Der Schlüsseladministrator erstellt den CMK. Die wichtigsten Richtlinien verweisen auf die Operator- und Administratorrolle ARNs sowie auf den Anwendungs-ARN. Weitere Informationen finden Sie unter Erstellen Sie eine KMS-Schlüsselrichtlinie.

  • Erstellen Sie eine IAM-Richtlinie für den Operator, die die Verwaltung von CMK für die Anwendung ermöglicht. Weitere Informationen finden Sie unter Berechtigungen für den Application Lifecycle Operator (API-Aufrufer) . Hängen Sie die neue IAM-Richtlinie an den Operator an. Der Operator aktualisiert die Anwendung, die CMK aktiviert. Weitere Informationen finden Sie unter Aktualisieren Sie eine bestehende Anwendung, um CMK zu verwenden.

Wenn die Anwendung nicht existiert, erstellen Sie die Anwendung ohne CMK.

Die folgende Abbildung zeigt, wie CMK in Amazon MSF implementiert ist.

Implementierung von kundenverwalteten Schlüsseln in Amazon MSF.

  1. Vom Kunden verwalteter Schlüssel (CMK): Enthält wichtige Richtlinien und wichtiges Material.

  2. Schlüsseladministrator: Der KeyAdmin IAM-Benutzer oder die IAM-Rolle.

  3. Application Lifecycle Operator (API-Aufrufer): Der Operator-IAM-Benutzer oder die IAM-Rolle.

  4. Anwendung: Ist eine Ausführungsrolle (IAM) angehängt.