Autorizzazioni per l'utilizzo di chiavi generate dall'utente KMS - Flusso di dati Amazon Kinesis
Esempio di autorizzazioni di produttoreEsempi di autorizzazioni per i consumatoriAutorizzazioni di amministratore di Stream

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per l'utilizzo di chiavi generate dall'utente KMS

Prima di poter utilizzare la crittografia lato server con una chiave generata dall'utenteKMS, è necessario configurare AWS KMS politiche chiave per consentire la crittografia degli stream e la crittografia e la decrittografia dei record degli stream. Per esempi e ulteriori informazioni su AWS KMS autorizzazioni, vedere AWS KMSAPIAutorizzazioni: riferimento alle azioni e alle risorse.

Nota

L'uso della chiave di servizio predefinita per la crittografia non richiede l'applicazione di IAM autorizzazioni personalizzate.

Prima di utilizzare le chiavi KMS master generate dall'utente, assicurati che i produttori e i consumatori IAM (principali) dello stream Kinesis siano utenti inclusi nella policy KMS delle chiavi master. In caso contrario, le operazioni di lettura e scrittura dai flussi non riusciranno, causando perdite di dati, ritardi delle elaborazioni o blocchi delle applicazioni. Puoi gestire le autorizzazioni per KMS le chiavi utilizzando le policy. IAM Per ulteriori informazioni, vedere Utilizzo delle IAM politiche con AWS KMS.

Esempio di autorizzazioni di produttore

I producer del flusso Kinesis devono disporre dell'autorizzazione kms:GenerateDataKey.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:PutRecord",
            "kinesis:PutRecords"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Esempi di autorizzazioni per i consumatori

I consumer del flusso Kinesis devono disporre dell'autorizzazione kms:Decrypt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:GetRecords",
            "kinesis:DescribeStream"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Amazon Managed Service per Apache Flink e AWS Lambda usa i ruoli per consumare gli stream Kinesis. Assicurati di aggiungere le autorizzazioni kms:Decrypt per i ruoli utilizzati da tali consumatori.

Autorizzazioni di amministratore di Stream

Gli amministratori del flusso Kinesis devono avere l'autorizzazione per chiamare kms:List* e kms:DescribeKey*.