Uso de claves gestionadas por el cliente en Amazon MSF - Managed Service para Apache Flink

Amazon Managed Service for Apache Flink (Amazon MSF) se denominaba anteriormente Amazon Kinesis Data Analytics for Apache Flink.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de claves gestionadas por el cliente en Amazon MSF

Debe tener en cuenta los siguientes factores al establecer, administrar y operar las aplicaciones de Amazon MSF sujetas a una política de CMK.

Clave administrada por el cliente

Esta es la política clave y el material clave. Deberá crear una clave que se utilice para cifrar el estado de la aplicación en el almacenamiento de aplicaciones en ejecución y en el almacenamiento duradero de aplicaciones.

Operador del ciclo de vida de las aplicaciones (llamada a la API)

Se trata del usuario o rol de Operator IAM. El operador puede ser un humano o una automatización, como una CI/CD canalización que creará, implementará y ejecutará la aplicación Amazon MSF. El operador del ciclo de vida de la aplicación puede ser un usuario o un rol de IAM.

nota

Es posible que el administrador clave y el operador sean la misma persona. En este caso, le recomendamos que utilice siempre roles o usuarios distintos.

Aplicación

Esta es la aplicación Amazon MSF que ha creado. La función de ejecución de aplicaciones (IAM) no requiere cambios para usar CMK. Para obtener más información sobre IAM en Amazon MSF, consulte. Identidad y gestión de acceso para Amazon Managed Service para Apache Flink

Dependencias entre políticas

Existen interdependencias entre la política clave asignada a la CMK y la política de IAM que define los permisos del operador del ciclo de vida de la aplicación. Es posible que desee crearlos en el siguiente orden:

  • Cree el usuario o el rol de Operator IAM sin que la política de IAM defina los permisos para CMK. El operador crea la aplicación con AOK.

  • Cree el administrador de claves con permisos para administrar las claves de KMS. El administrador de claves crea la CMK. La política clave hace referencia a la función ARNs de operador y administrador y al ARN de la aplicación. Para obtener más información, consulte Cree una política de claves de KMS.

  • Cree una política de IAM para el operador que permita gestionar la CMK de la aplicación. Para obtener más información, consulte Permisos del operador del ciclo de vida de la aplicación (persona que llama a la API) . Adjunte la nueva política de IAM al operador. El operador actualiza la aplicación habilitando la CMK. Para obtener más información, consulte Actualice una aplicación existente para usar CMK.

Si la aplicación no existe, créela sin CMK.

La siguiente ilustración muestra cómo se implementa CMK en Amazon MSF.

Implementación de claves gestionadas por el cliente en Amazon MSF.

  1. Clave gestionada por el cliente (CMK): comprende la política clave y el material clave.

  2. Administrador clave: el usuario o rol de KeyAdmin IAM.

  3. Operador del ciclo de vida de la aplicación (que llama a la API): el usuario o rol de IAM del operador.

  4. Aplicación: tiene una función de ejecución (IAM) asociada.