ユーザー生成 KMS マスターキーを使用するためのアクセス許可 - Amazon Kinesis Data Streams

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ユーザー生成 KMS マスターキーを使用するためのアクセス許可

サーバー側の暗号化をユーザー生成 KMS マスターキーと共に使用する前に、ストリームの暗号化、およびストリームレコードの暗号化と復号を許可するように AWS KMS キーポリシーを設定する必要があります。の例と詳細についてはAWS KMSアクセス許可の詳細については、」AWSKMS API のアクセス許可: アクションとリソースのリファレンス

注記

暗号化のためのデフォルトサービスキーの使用では、カスタム IAM アクセス許可の適用は必要ありません。

ユーザー生成 KMS マスターキーを使用する前に、Kinesis ストリームプロデューサーおよびコンシューマー (IAM プリンシパル) が、KMS マスターキーポリシーのユーザーであることを確認します。それ以外の場合、ストリームに対する読み取りと書き込みは失敗します。最終的は、データの損失、処理の遅延、またはアプリケーションのハングにつながる可能性があります。IAM ポリシーを使用して KMS キーのアクセス許可を管理できます。詳細については、「」を参照してください。での IAM ポリシーの使用AWSKMS

プロデューサーのアクセス許可の例

Kinesis ストリームプロデューサーにはkms:GenerateDataKeyアクセス許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }

コンシューマーのアクセス許可の例

Kinesis ストリームのコンシューマーにはkms:Decryptアクセス許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:GetRecords", "kinesis:DescribeStream" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }

Amazon Kinesis Data Analytics とAWS Lambdaロールを使用して Kinesis ストリームを消費します。これらのコンシューマーが使用するロールに kms:Decrypt 権限を確実に追加してください。

ストリーム管理者権限

Kinesis Streams 管理者には、kms:List*およびkms:DescribeKey*