Autorisations d'utilisation de clés principales KMS générées par l'utilisateur - Amazon Kinesis Data Streams

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations d'utilisation de clés principales KMS générées par l'utilisateur

Avant de pouvoir utiliser le chiffrement côté serveur avec une clé principale KMS générée par l'utilisateur, vous devez configurer les stratégies de clé AWS KMS pour autoriser le chiffrement des flux, et le chiffrement et le déchiffrement des enregistrements de flux. Pour des exemples et plus d'informations surAWS KMSautorisations, voirAWSAutorisations d'API KMS : Référence des actions et ressources.

Note

L'utilisation de la clé de service par défaut pour le chiffrement ne nécessite pas l'application d'autorisations IAM personnalisées.

Avant d'utiliser des clés principales KMS générées par l'utilisateur, vérifiez que vos producteurs et consommateurs de flux Kinesis (mandataires IAM) sont des utilisateurs dans la stratégie de la clé principale KMS. Si ce n'est pas le cas, les écritures et les lectures à partir d'un flux échoueront, ce qui pourrait entraîner la perte de données, des retards de traitement ou la suspension d'applications. Vous pouvez gérer les autorisations pour les clés KMS à l'aide de stratégies IAM. Pour de plus amples informations, veuillez consulterUtilisation de politiques IAM avecAWSKMS.

Exemple d'autorisations pour les producteurs

Vos producteurs de flux Kinesis doivent disposer dekms:GenerateDataKeyautorisation.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }

Exemple d'autorisations pour les consommateurs

Vos consommateurs de flux Kinesis doivent disposer dekms:Decryptautorisation.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:GetRecords", "kinesis:DescribeStream" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }

Amazon Kinesis Data AnalyticsAWS Lambdautilisent des rôles pour consommer des flux Kinesis Assurez-vous d'ajouter l'autorisation kms:Decrypt aux rôles que ces consommateurs utilisent.

Autorisations pour les administrateurs de flux

Les administrateurs de flux Kinesis doivent être autorisés à appelerkms:List*etkms:DescribeKey*.