Condividi l'accesso utilizzando politiche basate sulle risorse - Flusso di dati Amazon Kinesis
Condividi l'accesso con più account AWS Lambda funzioniCondividi l'accesso con utenti che utilizzano più account KCLCondividi l'accesso ai dati crittografati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condividi l'accesso utilizzando politiche basate sulle risorse

Nota

Aggiornare una policy esistente basata sulle risorse significa sostituire quella già esistente, quindi assicurati di includere tutte le informazioni necessarie nella nuova policy.

Condividi l'accesso con più account AWS Lambda funzioni

Operatore Lambda

  1. Vai alla IAMconsole per creare un IAM ruolo che verrà utilizzato come ruolo di esecuzione Lambda per il tuo AWS Lambda funzione. Aggiungi la IAM policy gestita con le AWSLambdaKinesisExecutionRole autorizzazioni di invocazione Kinesis Data Streams e Lambda richieste. Questa policy concede anche l'accesso a tutte le potenziali risorse di Kinesis Data Streams a cui potresti avere accesso.

  2. Nella AWS Lambda console, crea un AWS Lambda funzione per elaborare i record in un flusso di dati Kinesis Data Streams e durante la configurazione del ruolo di esecuzione, scegli il ruolo creato nel passaggio precedente.

  3. Fornisci il ruolo di esecuzione al proprietario della risorsa Kinesis Data Streams per la configurazione della policy delle risorse.

  4. Completa la configurazione della funzione Lambda.

Proprietario della risorsa di Kinesis Data Streams

  1. Ottieni il ruolo di esecuzione Lambda multi-account che richiamerà la funzione Lambda.

  2. Nella console di Amazon Kinesis Data Streams, scegli il flusso di dati. Scegli la scheda Condivisione del flusso di dati e poi il pulsante Crea una policy di condivisione per avviare l'editor visivo delle policy. Per condividere un consumatore registrato all'interno di un flusso di dati, scegli il consumatore e poi seleziona Crea una policy di condivisione. Puoi anche scrivere direttamente la JSON policy.

  3. Specifica il ruolo di esecuzione Lambda multi-account come principale e le operazioni Kinesis Data Streams esatte a cui condividi l'accesso. Ricorda di includere l'operazione kinesis:DescribeStream. Per ulteriori informazioni su esempi di policy delle risorse per Kinesis Data Streams, consulta Esempi di politiche basate sulle risorse per i flussi di dati Kinesis.

  4. Scegli Crea politica o usa PutResourcePolicyper allegare la politica alla tua risorsa.

Condividi l'accesso con utenti che utilizzano più account KCL

  • Se utilizzi KCL 1.x, assicurati di utilizzare KCL 1.15.0 o versioni successive.

  • Se stai usando KCL 2.x, assicurati di usare 2.5.3 o versioni successive. KCL

KCLoperatore

  1. Fornisci IAM l'utente o IAM il ruolo che eseguirà l'KCLapplicazione al proprietario della risorsa.

  2. Chiedi informazioni sul flusso di dati o sul consumatore al proprietario della risorsaARN.

  3. Assicurati di specificare lo stream fornito ARN come parte della KCL configurazione.

    • Per KCL 1.x: usa il KinesisClientLibConfigurationcostruttore e fornisci lo stream. ARN

    • Per KCL 2.x: puoi fornire solo lo stream ARN o la Kinesis StreamTrackerClient Library. ConfigsBuilder Per StreamTracker, fornisci lo stream ARN e Creation Epoch dalla DynamoDB Lease Table generata dalla libreria. Se desideri leggere i contenuti di un utente registrato condiviso come Enhanced Fan-Out, utilizza StreamTracker e fornisci anche al consumatore. ARN

Proprietario della risorsa di Kinesis Data Streams

  1. Ottieni l'IAMutente o il IAM ruolo multiaccount che eseguirà l'applicazione. KCL

  2. Nella console di Amazon Kinesis Data Streams, scegli il flusso di dati. Scegli la scheda Condivisione del flusso di dati e poi il pulsante Crea una policy di condivisione per avviare l'editor visivo delle policy. Per condividere un consumatore registrato all'interno di un flusso di dati, scegli il consumatore e poi seleziona Crea una policy di condivisione. Puoi anche scrivere direttamente la JSON politica.

  3. Specificate l'IAMutente o il IAM ruolo dell'KCLapplicazione multiaccount come principale e le azioni Kinesis Data Streams esatte a cui state condividendo l'accesso. Per ulteriori informazioni su esempi di policy delle risorse per Kinesis Data Streams, consulta Esempi di politiche basate sulle risorse per i flussi di dati Kinesis.

  4. Scegli Crea policy o usa PutResourcePolicyper allegare la policy alla tua risorsa.

Condividi l'accesso ai dati crittografati

Se hai abilitato la crittografia lato server per un flusso di dati con AWS KMSchiave gestita e desideri condividere l'accesso tramite una politica delle risorse, devi passare all'utilizzo della chiave gestita dal cliente (). CMK Per ulteriori informazioni, consulta Cos'è la crittografia lato server per Kinesis Data Streams?. Inoltre, devi consentire alle entità principali che condividono l'account di avere accesso alle tueCMK, utilizzando KMS le funzionalità di condivisione tra account. Assicurati di apportare anche la modifica alle IAM politiche per le entità principali che condividono. Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave.