Utilisation de clés gérées par le client dans Amazon MSF - Service géré pour Apache Flink

Amazon Managed Service for Apache Flink (Amazon MSF) était auparavant connu sous le nom d'Amazon Kinesis Data Analytics pour Apache Flink.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de clés gérées par le client dans Amazon MSF

Vous devez prendre en compte les facteurs suivants lors de l'établissement, de la gestion et de l'exploitation des applications Amazon MSF soumises à une politique CMK.

Clé gérée par le client

Il s'agit de la politique clé et du matériel clé. Vous devez créer une clé qui sera utilisée pour chiffrer l'état de votre application lors de l'exécution du stockage des applications et du stockage durable des applications.

Opérateur du cycle de vie des applications (appelant API)

Il s'agit de l'utilisateur ou du rôle Operator IAM. L'opérateur peut être un humain ou un automate, tel qu'un CI/CD pipeline qui créera, déploiera et exécutera l'application Amazon MSF. L'opérateur du cycle de vie de l'application peut être un rôle ou un utilisateur IAM.

Note

Il est possible que l'administrateur des clés et l'opérateur soient la même personne. Dans ce cas, nous vous recommandons de toujours utiliser des rôles ou des utilisateurs distincts.

Application

Il s'agit de l'application Amazon MSF que vous créez. Le rôle d'exécution d'application (IAM) ne nécessite aucune modification pour utiliser CMK. Pour plus d'informations sur l'IAM dans Amazon MSF, consultez. Gestion de l’identité et des accès dans le service géré Amazon pour Apache Flink

Dépendances entre les politiques

Il existe des interdépendances entre la politique clé attribuée au CMK et la politique IAM définissant les autorisations de l'opérateur du cycle de vie de l'application. Vous souhaiterez peut-être les créer dans l'ordre suivant :

  • Créez l'utilisateur ou le rôle IAM d'opérateur sans que la politique IAM ne définisse les autorisations pour CMK. L'opérateur crée l'application avec AOK.

  • Créez l'administrateur des clés autorisé à gérer les clés KMS. L'administrateur des clés crée la clé CMK. Les principales références de politique au rôle d'opérateur et d'administrateur ARNs, ainsi qu'à l'ARN de l'application. Pour de plus amples informations, veuillez consulter Création d'une politique de clé KMS.

  • Créez une politique IAM pour l'opérateur permettant de gérer le CMK pour l'application. Pour de plus amples informations, veuillez consulter Autorisations d'opérateur du cycle de vie des applications (appelant d'API) . Joignez la nouvelle politique IAM à l'opérateur. L'opérateur met à jour l'application en activant CMK. Pour de plus amples informations, veuillez consulter Mettre à jour une application existante pour utiliser CMK.

Si l'application n'existe pas, créez-la sans CMK.

L'illustration suivante montre comment le CMK est implémenté dans Amazon MSF.

Implémentation de clés gérées par le client dans Amazon MSF.

  1. Clé gérée par le client (CMK) : comprend la politique clé et le matériel clé.

  2. Administrateur principal : utilisateur ou rôle KeyAdmin IAM.

  3. Opérateur du cycle de vie de l'application (appelant API) : utilisateur ou rôle IAM de l'opérateur.

  4. Application : possède un rôle d'exécution (IAM) attaché.