사용자 생성 KMS 마스터 키 사용 권한 - Amazon Kinesis Data Streams

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 생성 KMS 마스터 키 사용 권한

사용자 생성 KMS 마스터 키와 함께 서버 측 암호화를 사용하려면 먼저 스트림의 암호화와 스트림 레코드의 암호화 및 해독을 허용하도록 AWS KMS 키 정책을 구성해야 합니다. 에 대한 예제와 자세한 내용AWS KMS권한, 참조AWS[KMS API 권한]: 작업 및 리소스 참조.

참고

암호화에 기본 서비스 키를 사용할 때는 사용자 지정 IAM 권한을 적용할 필요가 없습니다.

사용자 생성 KMS 마스터 키를 사용하려면 먼저 Kinesis 스트림 생산자 및 소비자 (IAM 보안 주체) 가 KMS 마스터 키 정책에 속한 사용자여야 합니다. 그렇지 않으면 스트림에서 읽기 및 쓰기가 실패하여 궁극적으로 데이터 손실, 처리 지연 또는 애플리케이션 중단이 발생할 수 있습니다. IAM 정책을 사용하여 KMS 키 권한을 관리할 수 있습니다. 자세한 내용은 단원을 참조하십시오.과 함께 IAM 정책 사용AWSKMS.

예제 생산자 권한

Kinesis Streams 생산자에kms:GenerateDataKey권한.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }

예제 소비자 권한

Kinesis Streams 소비자에게kms:Decrypt권한.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:GetRecords", "kinesis:DescribeStream" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }

Amazon Kinesis Data AnalyticsAWS Lambda역할을 사용하여 Kinesis 스트림을 사용합니다. 이 소비자가 사용하는 역할에 kms:Decrypt 권한을 추가해야 합니다.

스트림 관리자 권한

Kinesis Streams 관리자는 호출 권한이 있어야 합니다.kms:List*kms:DescribeKey*.