Partagez l'accès à l'aide de politiques basées sur les ressources - Amazon Kinesis Data Streams
Partage de l'accès grâce à des fonctions multi-comptes AWS LambdaPartagez l'accès avec les clients KCL ayant plusieurs comptesPartage de l'accès aux données chiffrées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partagez l'accès à l'aide de politiques basées sur les ressources

Note

La mise à jour d'une politique existante basée sur les ressources implique le remplacement de la politique existante. Assurez-vous donc d'inclure toutes les informations nécessaires dans votre nouvelle politique.

Partage de l'accès grâce à des fonctions multi-comptes AWS Lambda

Opérateur Lambda

  1. Accédez à la console IAM pour créer un rôle IAM qui sera utilisé comme rôle d'exécution Lambda pour votre fonction. AWS Lambda Ajoutez la politique IAM gérée AWSLambdaKinesisExecutionRole qui dispose des autorisations d'invocation Kinesis Data Streams et Lambda requises. Cette politique accorde également l'accès à toutes les ressources Kinesis Data Streams auxquelles vous pourriez avoir accès.

  2. Dans la AWS Lambda console, créez une AWS Lambda fonction pour traiter les enregistrements d'un flux de données Kinesis Data Streams et, lors de la configuration du rôle d'exécution, choisissez le rôle que vous avez créé à l'étape précédente.

  3. Fournissez le rôle d'exécution au propriétaire de la ressource Kinesis Data Streams pour configurer la politique de ressources.

  4. Terminez la configuration de la fonction Lambda.

Propriétaire de la ressource Kinesis Data Streams

  1. Obtenez le rôle d'exécution Lambda entre comptes qui appellera la fonction Lambda.

  2. Sur la console Amazon Kinesis Data Streams, choisissez le flux de données. Choisissez l'onglet Partage de flux de données, puis le bouton Créer une politique de partage pour démarrer l'éditeur visuel de politique. Pour partager un consommateur enregistré dans un flux de données, choisissez le consommateur, puis choisissez Créer une politique de partage. Vous pouvez également écrire la politique JSON directement.

  3. Spécifiez le rôle d'exécution Lambda entre comptes comme principal et les actions Kinesis Data Streams exactes auxquelles vous partagez l'accès. Veillez à inclure l'action kinesis:DescribeStream. Pour plus d'informations sur les exemples de politiques de ressources pour Kinesis Data Streams, consultez Exemples de politiques basées sur les ressources pour les flux de données Kinesis.

  4. Choisissez Créer une politique ou utilisez le PutResourcePolicypour associer la politique à votre ressource.

Partagez l'accès avec les clients KCL ayant plusieurs comptes

  • Si vous utilisez KCL 1.x, assurez-vous d'utiliser KCL 1.15.0 ou une version ultérieure.

  • Si vous utilisez KCL 2.x, assurez-vous d'utiliser KCL 2.5.3 ou une version ultérieure.

Opérateur KCL

  1. Indiquez l'utilisateur IAM ou le rôle IAM qui exécutera l'application KCL au propriétaire de la ressource.

  2. Demandez au propriétaire de la ressource l'ARN du flux de données ou du consommateur.

  3. Assurez-vous de spécifier l'ARN du flux fourni dans le cadre de votre configuration KCL.

    • Pour KCL 1.x : utilisez le KinesisClientLibConfigurationconstructeur et fournissez l'ARN du flux.

    • Pour KCL 2.x : vous pouvez uniquement fournir l'ARN du flux ou la bibliothèque StreamTrackercliente Kinesis. ConfigsBuilder Pour StreamTracker, fournissez l'ARN du flux et l'époque de création à partir de la table de location DynamoDB générée par la bibliothèque. Si vous souhaitez lire des informations provenant d'un consommateur enregistré partagé, comme Enhanced Fan-Out, utilisez StreamTracker et fournissez également l'ARN du consommateur.

Propriétaire de la ressource Kinesis Data Streams

  1. Obtenez l'utilisateur IAM multi-comptes ou le rôle IAM qui exécutera l'application KCL.

  2. Sur la console Amazon Kinesis Data Streams, choisissez le flux de données. Choisissez l'onglet Partage de flux de données, puis le bouton Créer une politique de partage pour démarrer l'éditeur visuel de politique. Pour partager un consommateur enregistré dans un flux de données, choisissez le consommateur, puis choisissez Créer une politique de partage. Vous pouvez également écrire la politique JSON directement.

  3. Spécifiez l'utilisateur IAM ou le rôle IAM de l'application KCL entre comptes en tant que principal et les actions Kinesis Data Streams exactes auxquelles vous partagez l'accès. Pour plus d'informations sur les exemples de politiques de ressources pour Kinesis Data Streams, consultez Exemples de politiques basées sur les ressources pour les flux de données Kinesis.

  4. Choisissez Créer une politique ou utilisez le PutResourcePolicypour associer la politique à votre ressource.

Partage de l'accès aux données chiffrées

Si vous avez activé le chiffrement côté serveur pour un flux de données avec une clé KMS AWS gérée et que vous souhaitez partager l'accès via une politique de ressources, vous devez passer à l'utilisation d'une clé gérée par le client (CMK). Pour de plus amples informations, veuillez consulter Qu'est-ce que le chiffrement côté serveur pour Kinesis Data Streams ?. En outre, vous devez autoriser vos entités principales de partage à accéder à votre clé CMK, en utilisant les fonctionnalités de partage entre comptes KMS. Assurez-vous de modifier également les politiques IAM pour les entités principales de partage. Pour plus d'informations, consultez la section Autorisation des utilisateurs d'autres comptes à utiliser une clé KMS.