Permissões para usar as chaves mestras do KMS geradas pelo usuário - Amazon Kinesis Data Streams

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões para usar as chaves mestras do KMS geradas pelo usuário

Antes que você possa usar a criptografia no lado do servidor com uma chave mestra do KMS gerada pelo usuário, você deve configurar as políticas de chaves do AWS KMS para permitir a criptografia de streams e a criptografia e a descriptografia de registros de stream. Para obter exemplos e mais informações sobreAWS KMS as permissões do, consulte AWSKMS API Permissions: Actions and Resources Reference.

nota

O uso da chave de serviço padrão para criptografia não exige a aplicação de permissões personalizadas do IAM.

Antes de usar chaves mestras do KMS geradas pelo usuário, certifique-se de que seus produtores e consumidores de stream do Kinesis (diretores do IAM) sejam usuários na política de chaves mestras do KMS. Caso contrário, as gravações e as leituras de um streaming falharão, o que pode resultar, em última análise, em perda de dados, processamento atrasado, ou travamento de aplicativos. Você pode gerenciar permissões para chaves do KMS usando políticas do IAM. Para obter mais informações, consulte Uso de políticas do IAM com oAWS KMS.

Exemplo de permissões de produtor

Seus produtores de stream do Kinesis devem ter akms:GenerateDataKey permissão.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }

Exemplo de permissões de consumidor

Seus consumidores de stream do Kinesis devem ter akms:Decrypt permissão.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:GetRecords", "kinesis:DescribeStream" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }

Amazon Kinesis Data Analytics eAWS Lambda use funções para consumir streams do Kinesis. Adicione a permissão kms:Decrypt às funções que esses consumidores usam.

Permissões de administrador de stream

Os administradores de stream do Kinesis devem ter autorização para ligarkms:List*kms:DescribeKey* e.