Amazon MSF でのカスタマーマネージドキーの使用 - Managed Service for Apache Flink

Amazon Managed Service for Apache Flink (Amazon MSF) は、以前は Amazon Kinesis Data Analytics for Apache Flink と呼ばれていました。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon MSF でのカスタマーマネージドキーの使用

CMK ポリシーの対象となる Amazon MSF アプリケーションを確立、管理、運用するときは、次の要素を考慮する必要があります。

カスタマーマネージドキー

これはキーポリシーキーマテリアルです。実行中のアプリケーションストレージと耐久性のあるアプリケーションストレージでアプリケーションの状態を暗号化するために使用されるキーを作成する必要があります。

アプリケーションライフサイクルオペレーター (API 発信者)

これは Operator IAM ユーザーまたはロールです。オペレーターは、人間でも、Amazon MSF アプリケーションを作成、デプロイ、実行する CI/CD パイプラインなどのオートメーションでもかまいません。アプリケーションライフサイクル Operator は、IAM ロールまたはユーザーのいずれかです。

注記

キー管理者とオペレーターが同じ人物である可能性があります。この場合、常に個別のロールまたはユーザーを使用することをお勧めします。

アプリケーション

これは、作成する Amazon MSF アプリケーションです。アプリケーション実行 (IAM) ロールでは、CMK を使用するための変更は必要ありません。Amazon MSF の IAM の詳細については、「」を参照してくださいAmazon Managed Service for Apache Flink のIDとアクセスマネジメント

ポリシー間の依存関係

CMK に割り当てられたキーポリシーと、アプリケーションライフサイクルオペレーターのアクセス許可を定義する IAM ポリシーの間には相互依存関係があります。次の順序で作成できます。

  • CMK のアクセス許可を定義する IAM ポリシーなしでオペレーター IAM ユーザーまたはロールを作成します。オペレーターは AOK を使用してアプリケーションを作成します。

  • KMS キーを管理するアクセス許可を持つキー管理者を作成します。キー管理者は CMK を作成します。キーポリシーは、オペレーターロールと管理者ロールARNs、およびアプリケーション ARN を参照します。詳細については、「KMS キーポリシーを作成する」を参照してください。

  • オペレーターの IAM ポリシーを作成し、アプリケーションの CMK を管理できるようにします。詳細については、「アプリケーションライフサイクルオペレーター (API 発信者) のアクセス許可 」を参照してください。新しい IAM ポリシーをオペレーターにアタッチします。Operator は、CMK を有効にするアプリケーションを更新します。詳細については、「CMK を使用するように既存のアプリケーションを更新する」を参照してください。

アプリケーションが存在しない場合は、CMK なしでアプリケーションを作成します。

次の図は、Amazon MSF で CMK を実装する方法を示しています。

Amazon MSF でのカスタマーマネージドキーの実装。

  1. カスタマーマネージドキー (CMK): キーポリシーとキーマテリアルで構成されます。

  2. キー管理者: KeyAdmin IAM ユーザーまたはロール。

  3. アプリケーションライフサイクルオペレーター (API 発信者): オペレーター IAM ユーザーまたはロール。

  4. アプリケーション: 実行 (IAM) ロールがアタッチされています。