As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões para usar as chaves mestras do KMS geradas pelo usuário
Antes que você possa usar a criptografia no lado do servidor com uma chave mestra do KMS gerada pelo usuário, você deve configurar as políticas de chaves do AWS KMS para permitir a criptografia de streams e a criptografia e a descriptografia de registros de stream. Para obter exemplos e mais informações sobreAWS KMS as permissões do, consulte AWSKMS API Permissions: Actions and Resources Reference.
O uso da chave de serviço padrão para criptografia não exige a aplicação de permissões personalizadas do IAM.
Antes de usar chaves mestras do KMS geradas pelo usuário, certifique-se de que seus produtores e consumidores de stream do Kinesis (diretores do IAM) sejam usuários na política de chaves mestras do KMS. Caso contrário, as gravações e as leituras de um streaming falharão, o que pode resultar, em última análise, em perda de dados, processamento atrasado, ou travamento de aplicativos. Você pode gerenciar permissões para chaves do KMS usando políticas do IAM. Para obter mais informações, consulte Uso de políticas do IAM com oAWS KMS.
Exemplo de permissões de produtor
Seus produtores de stream do Kinesis devem ter akms:GenerateDataKey
permissão.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }
Exemplo de permissões de consumidor
Seus consumidores de stream do Kinesis devem ter akms:Decrypt
permissão.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:GetRecords", "kinesis:DescribeStream" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }
Amazon Kinesis Data Analytics eAWS Lambda use funções para consumir streams do Kinesis. Adicione a permissão kms:Decrypt
às funções que esses consumidores usam.
Permissões de administrador de stream
Os administradores de stream do Kinesis devem ter autorização para ligarkms:List*
kms:DescribeKey*
e.