As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões para usar as chaves mestras do KMS geradas pelo usuário
Antes que você possa usar a criptografia no lado do servidor com uma chave mestra do KMS gerada pelo usuário, você deve configurar as políticas de chaves do AWS KMS para permitir a criptografia de streams e a criptografia e a descriptografia de registros de stream. Para obter exemplos e mais informações sobre AWS KMS permissões, consulte Permissões da API AWS KMS: referência de ações e recursos.
nota
O uso da chave de serviço padrão para criptografia não exige a aplicação de permissões personalizadas do IAM.
Antes de usar chaves mestras do KMS geradas pelo usuário, certifique-se de que seus produtores e consumidores de stream do Kinesis (diretores do IAM) sejam usuários da política de chaves mestras do KMS. Caso contrário, as gravações e as leituras de um streaming falharão, o que pode resultar, em última análise, em perda de dados, processamento atrasado, ou travamento de aplicativos. Você pode gerenciar permissões para chaves KMS usando políticas do IAM. Para obter mais informações, consulte Como usar políticas do IAM com o AWS KMS.
Exemplo de permissões de produtor
Seus produtores de stream do Kinesis devem ter a kms:GenerateDataKey
permissão.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }
Exemplo de permissões de consumidor
Seus consumidores do stream do Kinesis devem ter a kms:Decrypt
permissão.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:GetRecords", "kinesis:DescribeStream" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }
Amazon Managed Service para Apache Flink e AWS Lambda use funções para consumir streams do Kinesis. Adicione a permissão kms:Decrypt
às funções que esses consumidores usam.
Permissões de administrador de stream
Os administradores de stream do Kinesis devem ter autorização para chamar e. kms:List*
kms:DescribeKey*