Mengontrol Akses ke Sumber Daya Amazon Kinesis Data Streams Menggunakan IAM - Amazon Kinesis Data Streams
Sintaks KebijakanTindakan untuk Kinesis Data StreamsNama Sumber Daya Amazon (ARN) untuk Kinesis Data StreamsContoh Kebijakan untuk Kinesis Data StreamsBerbagi aliran data Anda dengan akun lainKonfigurasikan AWS Lambda fungsi untuk membaca dari Kinesis Data Streams di akun lain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol Akses ke Sumber Daya Amazon Kinesis Data Streams Menggunakan IAM

AWS Identity and Access Management (IAM) memungkinkan Anda untuk melakukan hal berikut:

  • Buat pengguna dan grup di bawah AWS akun Anda

  • Tetapkan kredensi keamanan unik untuk setiap pengguna di bawah akun Anda AWS

  • Kontrol izin setiap pengguna untuk melakukan tugas menggunakan sumber daya AWS

  • Izinkan pengguna di AWS akun lain untuk membagikan AWS sumber daya Anda

  • Buat peran untuk AWS akun Anda dan tentukan pengguna atau layanan yang dapat mengasumsikannya

  • Gunakan identitas yang ada untuk perusahaan Anda untuk memberikan izin untuk melakukan tugas menggunakan sumber daya AWS

Dengan menggunakan IAM dengan Kinesis Data Streams, Anda dapat mengontrol apakah pengguna di organisasi dapat melakukan tugas menggunakan tindakan API Kinesis Data Streams tertentu dan apakah mereka dapat menggunakan sumber daya tertentu. AWS

Jika Anda mengembangkan aplikasi menggunakan Kinesis Client Library (KCL), kebijakan Anda harus menyertakan izin untuk Amazon DynamoDB dan Amazon CloudWatch; KCL menggunakan DynamoDB untuk melacak informasi status aplikasi, dan mengirim metrik KCL ke atas nama Anda. CloudWatch CloudWatch Untuk informasi lebih lanjut tentang KCL, lihatMengembangkan Konsumen KCL 1.x.

Untuk informasi selengkapnya tentang IAM, lihat berikut ini:

Untuk informasi selengkapnya tentang IAM dan Amazon DynamoDB, lihat Menggunakan IAM untuk Mengontrol Akses ke Sumber Daya Amazon DynamoDB di Panduan Pengembang Amazon DynamoDB.

Untuk informasi selengkapnya tentang IAM dan Amazon CloudWatch, lihat Mengontrol Akses Pengguna ke AWS Akun Anda di Panduan CloudWatch Pengguna Amazon.

Daftar Isi

Sintaks Kebijakan

kebijakan IAM adalah dokumen JSON yang terdiri dari satu atau beberapa pernyataan. Setiap pernyataan memiliki struktur sebagai berikut:

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

Ada berbagai elemen yang membentuk pernyataan:

  • Efek: Efek bisa berupa Allow atau Deny. Secara default, para pengguna IAM tidak memiliki izin untuk menggunakan sumber daya dan tindakan API, jadi semua permintaan akan ditolak. izin eksplisit akan menggantikan izin default. penolakan eksplisit akan menggantikan izin apa pun.

  • Tindakan: Tindakan adalah tindakan API tertentu yang Anda izinkan atau tolak.

  • Sumber Daya: Sumber daya yang dipengaruhi oleh tindakan. Untuk menentukan sumber daya dalam sebuah pernyataan kebijakan IAM, gunakan Amazon Resource Name (ARN).

  • Syarat: Syarat bersifat opsional. Ketentuan ini dapat digunakan untuk mengontrol kapan kebijakan Anda akan berlaku.

Saat Anda membuat dan mengelola kebijakan IAM, Anda mungkin ingin menggunakan IAM Policy Generator dan IAM Policy Simulator.

Tindakan untuk Kinesis Data Streams

Dalam pernyataan kebijakan IAM, Anda dapat menentukan tindakan API apa pun dari layanan apa pun yang mendukung IAM. Untuk Kinesis Data Streams, gunakan awalan berikut dengan nama tindakan API:. kinesis: Misalnya:kinesis:CreateStream,kinesis:ListStreams, dankinesis:DescribeStreamSummary.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan tindakan-tindakan tersebut menggunakan koma seperti berikut:

"Action": ["kinesis:action1", "kinesis:action2"]

Anda juga dapat menentukan beberapa tindakan menggunakan wildcard. Misalnya, Anda dapat menentukan semua tindakan yang namanya dimulai dengan kata “Dapatkan” sebagai berikut:

"Action": "kinesis:Get*"

Untuk menentukan semua operasi Kinesis Data Streams, gunakan wildcard * sebagai berikut:

"Action": "kinesis:*"

Untuk daftar lengkap tindakan API Kinesis Data Streams, lihat Referensi API Amazon Kinesis.

Nama Sumber Daya Amazon (ARN) untuk Kinesis Data Streams

Setiap pernyataan kebijakan IAM berlaku untuk sumber daya yang Anda tentukan menggunakan ARN.

Gunakan format sumber daya ARN berikut untuk aliran data Kinesis:

arn:aws:kinesis:region:account-id:stream/stream-name

Sebagai contoh:

"Resource": arn:aws:kinesis:*:111122223333:stream/my-stream

Contoh Kebijakan untuk Kinesis Data Streams

Contoh kebijakan berikut menunjukkan bagaimana Anda dapat mengontrol akses pengguna ke aliran data Kinesis Anda.

Example 1: Allow users to get data from a stream

Kebijakan ini memungkinkan pengguna atau grup untuk melakukanDescribeStreamSummary,GetShardIterator, dan GetRecords operasi pada aliran tertentu dan ListStreams pada aliran apa pun. Kebijakan ini dapat diterapkan pada pengguna yang seharusnya bisa mendapatkan data dari aliran tertentu. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kinesis:Get*",
                "kinesis:DescribeStreamSummary"
            ],
            "Resource": [
                "arn:aws:kinesis:us-east-1:111122223333:stream/stream1"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kinesis:ListStreams"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
Example 2: Allow users to add data to any stream in the account

Kebijakan ini memungkinkan pengguna atau grup untuk menggunakan PutRecord operasi dengan salah satu aliran akun. Kebijakan ini dapat diterapkan pada pengguna yang harus dapat menambahkan catatan data ke semua aliran di akun.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord"
            ],
            "Resource": [
                "arn:aws:kinesis:us-east-1:111122223333:stream/*"
            ]
        }
    ]
}
Example 3: Allow any Kinesis Data Streams action on a specific stream

Kebijakan ini memungkinkan pengguna atau grup untuk menggunakan operasi Kinesis Data Streams apa pun pada aliran yang ditentukan. Kebijakan ini dapat diterapkan pada pengguna yang harus memiliki kontrol administratif atas aliran tertentu.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kinesis:*",
            "Resource": [
                "arn:aws:kinesis:us-east-1:111122223333:stream/stream1"
            ]
        }
    ]
}
Example 4: Allow any Kinesis Data Streams action on any stream

Kebijakan ini memungkinkan pengguna atau grup untuk menggunakan operasi Kinesis Data Streams apa pun pada aliran apa pun di akun. Karena kebijakan ini memberikan akses penuh ke semua aliran Anda, Anda harus membatasinya hanya untuk administrator.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kinesis:*",
            "Resource": [
                "arn:aws:kinesis:*:111122223333:stream/*"
            ]
        }
    ]
}

Berbagi aliran data Anda dengan akun lain

catatan

Kinesis Producer Library saat ini tidak mendukung penentuan aliran ARN saat menulis ke aliran data. Gunakan AWS SDK jika Anda ingin menulis ke aliran data lintas akun.

Lampirkan kebijakan berbasis sumber daya ke aliran data Anda untuk memberikan akses ke akun lain, pengguna IAM, atau peran IAM. Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya seperti aliran data. Kebijakan ini memberikan izin pokok yang ditentukan untuk melakukan tindakan spesifik pada sumber daya tersebut dan menentukan dalam kondisi apa hal ini berlaku. Kebijakan dapat memiliki beberapa pernyataan. Anda harus menentukan prinsipal dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau layanan. AWS Anda dapat mengonfigurasi kebijakan di konsol Kinesis Data Streams, API, atau SDK.

Perhatikan bahwa berbagi akses ke konsumen terdaftar seperti Enhanced Fan Out memerlukan kebijakan tentang ARN aliran data dan ARN konsumen.

Mengaktifkan akses lintas akun

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai prinsipal dalam kebijakan berbasis sumber daya. Menambahkan prinsipal akun silang ke kebijakan berbasis sumber daya hanya setengah dari membangun hubungan kepercayaan. Ketika prinsipal dan sumber daya berada di AWS akun terpisah, Anda juga harus menggunakan kebijakan berbasis identitas untuk memberikan akses utama ke sumber daya. Namun, jika kebijakan berbasis sumber daya memberikan akses ke prinsipal dalam akun yang sama, tidak diperlukan kebijakan berbasis identitas tambahan.

Untuk informasi selengkapnya tentang penggunaan kebijakan berbasis sumber daya untuk akses lintas akun, lihat Akses sumber daya lintas akun di IAM.

Administrator aliran data dapat menggunakan AWS Identity and Access Management kebijakan untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa. Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait.

Tindakan Kinesis Data Streams yang dapat dibagikan:

Tindakan Tingkat akses
DescribeStreamConsumer Konsumen
DescribeStreamSummary Aliran data
GetRecords Aliran data
GetShardIterator Aliran data
ListShards Aliran data
PutRecord Aliran data
PutRecords Aliran data
SubscribeToShard Konsumen

Berikut ini adalah contoh penggunaan kebijakan berbasis sumber daya untuk memberikan akses lintas akun ke aliran data Anda atau konsumen terdaftar.

Untuk melakukan tindakan lintas akun, Anda harus menentukan ARN aliran untuk akses aliran data dan ARN konsumen untuk akses konsumen terdaftar.

Contoh kebijakan berbasis sumber daya untuk aliran data Kinesis

Berbagi konsumen terdaftar melibatkan kebijakan aliran data dan kebijakan konsumen karena tindakan yang diperlukan.

catatan

Berikut ini adalah contoh nilai yang valid untukPrincipal:

  • {"AWS": "123456789012"}

  • Pengguna IAM - {"AWS": "arn:aws:iam::123456789012:user/user-name"}

  • Peran IAM - {"AWS":["arn:aws:iam::123456789012:role/role-name"]}

  • Beberapa Prinsipal (dapat berupa kombinasi akun, pengguna, peran) - {"AWS":["123456789012", "123456789013", "arn:aws:iam::123456789012:user/user-name"]}

Example 1: Write access to the data stream
{
    "Version": "2012-10-17",
    "Id": "__default_write_policy_ID",
    "Statement": [
        {
            "Sid": "writestatement",
            "Effect": "Allow",
            "Principal": {
                "AWS": "Account12345"
            },
            "Action": [
                "kinesis:DescribeStreamSummary",
                "kinesis:ListShards",
                "kinesis:PutRecord",
                "kinesis:PutRecords"
            ],
            "Resource": "arn:aws:kinesis:us-east-2:123456789012:stream/datastreamABC"
        }
    ]
}
Example 2: Read access to the data stream
{
    "Version": "2012-10-17",
    "Id": "__default_sharedthroughput_read_policy_ID",
    "Statement": [
        {
            "Sid": "sharedthroughputreadstatement",
            "Effect": "Allow",
            "Principal": {
                "AWS": "Account12345"
            },
            "Action": [                
                "kinesis:DescribeStreamSummary",
                "kinesis:ListShards",
                "kinesis:GetRecords",
                "kinesis:GetShardIterator"
            ],
            "Resource": "arn:aws:kinesis:us-east-2:123456789012:stream/datastreamABC"
        }
    ]
}
Example 3: Share enhanced fan-out read access to a registered consumer

Pernyataan kebijakan aliran data: 

{
    "Version": "2012-10-17",
    "Id": "__default_sharedthroughput_read_policy_ID",
    "Statement": [
        {
            "Sid": "consumerreadstatement",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::Account12345:role/role-name"
            },
            "Action": [
                "kinesis:DescribeStreamSummary",
                "kinesis:ListShards"
            ],
            "Resource": "arn:aws:kinesis:us-east-2:123456789012:stream/datastreamABC"
        }
    ]
}

Pernyataan kebijakan konsumen:

{
    "Version": "2012-10-17",
    "Id": "__default_efo_read_policy_ID",
    "Statement": [
        {
            "Sid": "eforeadstatement",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::Account12345:role/role-name"
            },
            "Action": [
                "kinesis:DescribeStreamConsumer",
                "kinesis:SubscribeToShard"
            ],
            "Resource": "arn:aws:kinesis:us-east-2:123456789012:stream/datastreamABC/consumer/consumerDEF:1674696300"
        }
    ]
}

Wildcard (*) tidak didukung untuk tindakan atau bidang utama untuk mempertahankan prinsip hak istimewa yang paling rendah..

Mengelola kebijakan untuk aliran data Anda secara terprogram

Di luar AWS Management Console, Kinesis Data Streams memiliki tiga API untuk mengelola kebijakan aliran data Anda:

Gunakan PutResourePolicy untuk melampirkan atau menimpa kebijakan untuk aliran data atau konsumen. Gunakan GetResourcePolicy untuk memeriksa dan melihat kebijakan untuk aliran data atau konsumen yang ditentukan. Gunakan DeleteResourcePolicy untuk menghapus kebijakan untuk aliran data atau konsumen yang ditentukan.

Batas kebijakan

Kebijakan sumber daya Kinesis Data Streams memiliki batasan sebagai berikut:

  • Wildcard (*) tidak didukung untuk membantu mencegah akses luas diberikan melalui kebijakan sumber daya yang secara langsung dilampirkan ke aliran data atau konsumen terdaftar. Selain itu, periksa dengan cermat kebijakan berikut untuk mengonfirmasi bahwa kebijakan tersebut tidak memberikan akses luas:

    • Kebijakan berbasis identitas yang dilampirkan pada AWS prinsipal terkait (misalnya, peran IAM)

    • Kebijakan berbasis sumber daya yang dilampirkan pada AWS sumber daya terkait (misalnya, kunci KMS) AWS Key Management Service

  • AWS Kepala Pelayanan tidak didukung oleh kepala sekolah untuk mencegah calon deputi yang bingung.

  • Prinsipal federasi tidak didukung.

  • ID pengguna kanonik tidak didukung.

  • Ukuran polis tidak boleh melebihi 20KB.

Berbagi akses ke data terenkripsi

Jika Anda telah mengaktifkan enkripsi sisi server untuk aliran data dengan kunci KMS AWS terkelola dan ingin berbagi akses melalui kebijakan sumber daya, Anda harus beralih menggunakan kunci yang dikelola pelanggan (CMK). Untuk informasi selengkapnya, lihat Apa itu Enkripsi Sisi Server untuk Kinesis Data Streams?. Selain itu, Anda harus mengizinkan entitas utama berbagi Anda untuk memiliki akses ke CMK Anda, menggunakan kemampuan berbagi lintas akun KMS. Pastikan juga untuk membuat perubahan dalam kebijakan IAM untuk entitas utama berbagi. Untuk informasi selengkapnya, lihat Mengizinkan pengguna di akun lain untuk menggunakan kunci KMS.

Konfigurasikan AWS Lambda fungsi untuk membaca dari Kinesis Data Streams di akun lain

Untuk contoh cara mengonfigurasi fungsi Lambda untuk membaca dari Kinesis Data Streams di akun lain, lihat. Berbagi akses dengan fungsi lintas akun AWS Lambda