Permissões para usar as chaves mestras do KMS geradas pelo usuário - Amazon Kinesis Data Streams

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões para usar as chaves mestras do KMS geradas pelo usuário

Antes que você possa usar a criptografia no lado do servidor com uma chave mestra do KMS gerada pelo usuário, você deve configurar as políticas de chaves do AWS KMS para permitir a criptografia de streams e a criptografia e a descriptografia de registros de stream. Para obter exemplos e mais informações sobre AWS KMS permissões, consulte Permissões da API AWS KMS: referência de ações e recursos.

nota

O uso da chave de serviço padrão para criptografia não exige a aplicação de permissões personalizadas do IAM.

Antes de usar chaves mestras do KMS geradas pelo usuário, certifique-se de que seus produtores e consumidores de stream do Kinesis (diretores do IAM) sejam usuários da política de chaves mestras do KMS. Caso contrário, as gravações e as leituras de um streaming falharão, o que pode resultar, em última análise, em perda de dados, processamento atrasado, ou travamento de aplicativos. Você pode gerenciar permissões para chaves KMS usando políticas do IAM. Para obter mais informações, consulte Como usar políticas do IAM com o AWS KMS.

Exemplo de permissões de produtor

Seus produtores de stream do Kinesis devem ter a kms:GenerateDataKey permissão.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }

Exemplo de permissões de consumidor

Seus consumidores do stream do Kinesis devem ter a kms:Decrypt permissão.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:GetRecords", "kinesis:DescribeStream" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }

Amazon Managed Service para Apache Flink e AWS Lambda use funções para consumir streams do Kinesis. Adicione a permissão kms:Decrypt às funções que esses consumidores usam.

Permissões de administrador de stream

Os administradores de stream do Kinesis devem ter autorização para chamar e. kms:List* kms:DescribeKey*