Compartir acceso mediante políticas basadas en recursos - Amazon Kinesis Data Streams
Compartir acceso con funciones de AWS Lambda entre cuentasCompartir acceso con consumidores de KCL entre cuentasCompartir acceso a datos cifrados

Compartir acceso mediante políticas basadas en recursos

nota

Actualizar una política basada en recursos existente implica reemplazarla, así que asegúrese de incluir toda la información necesaria en su nueva política.

Compartir acceso con funciones de AWS Lambda entre cuentas

Operador Lambda

  1. Vaya a la consola de IAM para crear un rol de IAM que se utilizará como rol de ejecución de Lambda para su función de AWS Lambda. Agregue la política de IAM administrada AWSLambdaKinesisExecutionRole que tenga los permisos de invocación de Kinesis Data Streams y Lambda necesarios. Esta política también concede acceso a todos los recursos potenciales de Kinesis Data Streams a los que pueda tener acceso.

  2. En la consola de AWS Lambda, cree una función AWS Lambda para procesar los registros de un flujo de datos de Kinesis Data Streams y, durante la configuración de la función de ejecución, elija la función que creó en el paso anterior.

  3. Proporcione la función de ejecución al propietario del recurso de Kinesis Data Streams para configurar la política de recursos.

  4. Terminar de configurar la función de Lambda.

Propietario de recursos de Kinesis Data Streams

  1. Obtenga la función de ejecución de Lambda entre cuentas que invocará la función de Lambda.

  2. En la consola de Amazon Kinesis Data Streams, seleccione el flujo de datos. Seleccione la pestaña Compartir el flujo de datos y, a continuación, el botón Crear política de uso compartido para iniciar el editor visual de políticas. Para compartir un consumidor registrado dentro de un flujo de datos, elija el consumidor y, a continuación, elija Crear política de uso compartido. También puede escribir la política de JSON directamente.

  3. Especifique la función de ejecución entre cuentas de Lambda como la entidad principal y las acciones exactas de Kinesis Data Streams a las que comparte el acceso. Asegúrese de incluir la acción kinesis:DescribeStream. Para obtener más información sobre ejemplos de políticas de recursos para Kinesis Data Streams, consulte Ejemplo de políticas basadas en recursos para Kinesis Data Streams.

  4. Elija Crear política o utilice PutResourcePolicy para adjuntar la política a su recurso.

Compartir acceso con consumidores de KCL entre cuentas

  • Si utiliza KCL 1.x, asegúrese de utilizar KCL 1.15.0 o superior.

  • Si utiliza KCL 2.x, asegúrese de utilizar KCL 2.5.3 o superior.

Operador de KCL

  1. Proporcione al propietario del recurso el usuario de IAM o el rol de IAM que ejecutará la aplicación KCL.

  2. Pida al propietario del recurso el flujo de datos o el ARN del consumidor.

  3. Asegúrese de especificar el ARN del flujo proporcionado como parte de la configuración de KCL.

    • Para KCL 1.x: utilice el constructor KinesisClientLibConfiguration y proporcione el ARN del flujo.

    • Para KCL 2.x: puede proporcionar solo el ARN del flujo o StreamTracker a ConfigsBuilder de la biblioteca de clientes de Kinesis. En el caso de StreamTracker, proporcione el ARN del flujo y la época de creación de la tabla de arrendamiento de DynamoDB que genera la biblioteca. Si quiere leer información de un consumidor registrado compartido, como Enhanced Fan-Out, use StreamTracker y proporcione también el ARN del consumidor.

Propietario de recursos de Kinesis Data Streams

  1. Obtenga el usuario de IAM entre cuentas o el rol de IAM que ejecutará la aplicación KCL.

  2. En la consola de Amazon Kinesis Data Streams, seleccione el flujo de datos. Seleccione la pestaña Compartir el flujo de datos y, a continuación, el botón Crear política de uso compartido para iniciar el editor visual de políticas. Para compartir un consumidor registrado dentro de un flujo de datos, elija el consumidor y, a continuación, elija Crear política de uso compartido. También puede escribir la política de JSON directamente.

  3. Especifique el usuario de IAM o el rol de IAM de la aplicación KCL entre cuentas como las entidades principales y las acciones exactas de Kinesis Data Streams a las que comparte el acceso. Para obtener más información sobre ejemplos de políticas de recursos para Kinesis Data Streams, consulte Ejemplo de políticas basadas en recursos para Kinesis Data Streams.

  4. Elija Crear política o utilice PutResourcePolicy para adjuntar la política a su recurso.

Compartir acceso a datos cifrados

Si ha habilitado el cifrado del lado del servidor para un flujo de datos con una clave KMS administrada por AWS y desea compartir el acceso mediante una política de recursos, debe cambiar a la clave administrada por el cliente (CMK). Para obtener más información, consulte ¿Qué es el cifrado del lado del servidor para Kinesis Data Streams?. Además, debe permitir que las entidades principales compartidas tengan acceso a su CMK mediante las capacidades de uso compartido entre cuentas de KMS. Asegúrese de realizar también el cambio en las políticas de IAM para las entidades principales compartidas. Para obtener más información, consulte Allowing users in other accounts to use a KMS key (Permitir que los usuarios de otras cuentas utilicen una clave KMS).