Utilizzo di chiavi gestite dal cliente in Amazon MSF - Servizio gestito per Apache Flink

Amazon Managed Service for Apache Flink (Amazon MSF) era precedentemente noto come Amazon Kinesis Data Analytics for Apache Flink.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di chiavi gestite dal cliente in Amazon MSF

È necessario considerare i seguenti fattori quando si stabiliscono, gestiscono e utilizzano applicazioni Amazon MSF soggette a una politica CMK.

Chiave gestita dal cliente

Questa è la politica e il materiale chiave. Dovrai creare una chiave che venga utilizzata per crittografare lo stato dell'applicazione nello storage delle applicazioni in esecuzione e nello storage durevole delle applicazioni.

Operatore del ciclo di vita dell'applicazione (chiamante API)

Questo è l'utente o il ruolo Operator IAM. L'operatore può essere un essere umano o un'automazione, ad esempio una CI/CD pipeline che creerà, distribuirà ed eseguirà l'applicazione Amazon MSF. L'operatore del ciclo di vita dell'applicazione può essere un ruolo o un utente IAM.

Nota

È possibile che l'amministratore principale e l'operatore siano la stessa persona. In questo caso, ti consigliamo di utilizzare sempre ruoli o utenti separati.

Applicazione

Questa è l'applicazione Amazon MSF che crei. Il ruolo di esecuzione dell'applicazione (IAM) non richiede modifiche per utilizzare CMK. Per ulteriori informazioni su IAM in Amazon MSF, consultaIdentity and Access Management per il servizio gestito da Amazon per Apache Flink.

Dipendenze tra le politiche

Esistono interdipendenze tra la policy chiave assegnata alla CMK e la policy IAM che definisce le autorizzazioni dell'operatore del ciclo di vita dell'applicazione. Potresti volerli creare nell'ordine seguente:

  • Crea l'utente o il ruolo Operator IAM senza che la policy IAM definisca le autorizzazioni per CMK. L'operatore crea l'applicazione con AOK.

  • Crea l'amministratore delle chiavi con le autorizzazioni per gestire le chiavi KMS. L'amministratore delle chiavi crea la CMK. I principali riferimenti politici al ruolo ARNs Operatore e amministratore e all'ARN dell'applicazione. Per ulteriori informazioni, consulta Crea una politica chiave KMS.

  • Crea una politica IAM per l'operatore che consenta di gestire CMK per l'applicazione. Per ulteriori informazioni, consulta Autorizzazioni dell'operatore del ciclo di vita dell'applicazione (chiamante API) . Allega la nuova policy IAM all'operatore. L'operatore aggiorna l'applicazione abilitando CMK. Per ulteriori informazioni, consulta Aggiornare un'applicazione esistente per utilizzare CMK.

Se l'applicazione non esiste, crea l'applicazione senza CMK.

L'illustrazione seguente mostra come CMK è implementato in Amazon MSF.

Implementazione di chiavi gestite dal cliente in Amazon MSF.

  1. Chiave gestita dal cliente (CMK): comprende la politica e il materiale chiave chiave.

  2. Amministratore chiave: l'utente o il ruolo KeyAdmin IAM.

  3. Operatore del ciclo di vita dell'applicazione (chiamante API): l'utente o il ruolo dell'operatore IAM.

  4. Applicazione: ha un ruolo di esecuzione (IAM) associato.