Après mûre réflexion, nous avons décidé de mettre fin à Amazon Kinesis Data Analytics pour les applications SQL :
1. À compter du **1er septembre 2025,** nous ne fournirons aucune correction de bogue pour les applications Amazon Kinesis Data Analytics for SQL, car leur support sera limité, compte tenu de l'arrêt prochain.
2. À compter du **15 octobre 2025,** vous ne pourrez plus créer de nouvelles applications Kinesis Data Analytics for SQL.
3. Nous supprimerons vos candidatures à compter **du 27 janvier 2026**. Vous ne serez pas en mesure de démarrer ou d'utiliser vos applications Amazon Kinesis Data Analytics for SQL. Support ne sera plus disponible pour Amazon Kinesis Data Analytics for SQL à partir de cette date. Pour de plus amples informations, veuillez consulter [Arrêt d'Amazon Kinesis Data Analytics pour les applications SQL](discontinuation.md).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# La sécurité dans Amazon Kinesis Data Analytics
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficierez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. L’efficacité de notre sécurité est régulièrement testée et vérifiée par des auditeurs tiers dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à Kinesis Data Analytics, [AWS consultez la section Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation, et la législation et la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation de Kinesis Data Analytics. Les rubriques suivantes expliquent comment configurer Kinesis Data Analytics pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres services Amazon qui peuvent vous aider à surveiller et à sécuriser vos ressources Kinesis Data Analytics.
**Topics**
+ [Protection des données dans les applications Amazon Kinesis Data Analytics pour SQL](data-protection.md)
+ [Gestion des identités et des accès dans Kinesis Data Analytics](iam-role.md)
+ [Authentification et contrôle d’accès pour](authentication-and-access-control.md)
+ [Surveillance d'Amazon Kinesis Data Analytics](security-monitoring.md)
+ [Validation de conformité pour les applications Amazon Kinesis Data Analytics pour SQL](akda-java-compliance.md)
+ [Résilience dans Amazon Kinesis Data Analytics](disaster-recovery-resiliency.md)
+ [Sécurité de l’infrastructure dans les applications Kinesis Data Analytics pour SQL](infrastructure-security.md)
+ [Bonnes pratiques de sécurité pour Kinesis Data Analytics](security-best-practices.md)
# Protection des données dans les applications Amazon Kinesis Data Analytics pour SQL
Vous pouvez protéger vos données à l'aide des outils fournis par AWS. Kinesis Data Analytics peut fonctionner avec des services qui prennent en charge le chiffrement des données, notamment Kinesis Data Streams, Firehose et Amazon S3.
## Chiffrement des données dans Kinesis Data Analytics
### Chiffrement au repos
Notez les éléments suivants à propos du chiffrement des données au repos avec Kinesis Data Analytics :
+ Vous pouvez chiffrer les données du flux de données Kinesis entrant à l'aide de. [StartStreamEncryption](https://docs.aws.amazon.com/kinesis/latest/APIReference/API_StartStreamEncryption.html) Pour plus d'informations, consultez [Qu'est-ce que le chiffrement côté serveur pour Kinesis Streams Data ?](https://docs.aws.amazon.com/streams/latest/dev/what-is-sse.html).
+ Les données de sortie peuvent être chiffrées au repos à l'aide de Firehose pour stocker les données dans un compartiment Amazon S3 chiffré. Vous pouvez spécifier la clé de chiffrement que le compartiment Amazon S3 utilise. Pour plus d’informations, consultez [Protection des données à l’aide du chiffrement côté serveur avec des clés gérées par KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html).
+ Le code de votre application est chiffré au repos.
+ Les données de référence de votre application sont chiffrées au repos.
### Chiffrement en transit
Kinesis Data Analytics chiffre toutes les données en transit. Le chiffrement en transit est activé pour toutes les applications Kinesis Data Analytics et ne peut pas être désactivé.
Kinesis Data Analytics chiffre les données en transit dans les scénarios suivants :
+ Données en transit de Kinesis Data Streams vers Kinesis Data Analytics.
+ Données en transit entre les composants internes dans Kinesis Data Analytics.
+ Données en transit entre Kinesis Data Analytics et Firehose.
### Gestion des clés
Le chiffrement des données dans Kinesis Data Analytics utilise des clés gérées par le service. Les clés gérées par le client ne sont pas prises en charge.
# Gestion des identités et des accès dans Kinesis Data Analytics
Amazon Kinesis Data Analytics a besoin d’autorisations pour lire les enregistrements provenant d’une source de diffusion que vous spécifiez dans la configuration d’entrée de votre application. Amazon Kinesis Data Analytics a également besoin d’autorisations pour écrire les résultats de votre application dans les flux que vous spécifiez dans la configuration de sortie de votre application.
Vous pouvez accorder ces autorisations en créant un rôle IAM qu’Amazon Kinesis Data Analytics peut endosser. Les autorisations que vous accordez à ce rôle déterminent ce qu’Amazon Kinesis Data Analytics peut faire lorsque le service assume ce rôle.
**Note**
Les informations de cette section sont utiles si vous voulez créer un rôle IAM vous-même. Lorsque vous créez une application dans la console Amazon Kinesis Data Analytics, celle-ci peut créer un rôle IAM pour vous à ce moment-là. La console utilise la convention d’attribution des noms suivante pour les rôles IAM qu’elle crée :
```
kinesis-analytics-ApplicationName
```
Une fois le rôle créé, vous pouvez le vérifier, ainsi que les stratégies attachées dans la console IAM.
Deux stratégies sont attachées à chaque rôle IAM. Dans la stratégie d'approbation, vous spécifiez qui peut endosser le rôle. Dans la stratégie d'autorisations (il peut y en avoir plusieurs), vous spécifiez les autorisations que vous voulez accorder à ce rôle. Les sections suivantes décrivent ces stratégies que vous pouvez utiliser lorsque vous créez un rôle IAM.
## Stratégie d’approbation
Pour accorder à Amazon Kinesis Data Analytics des autorisations pour assumer un rôle afin d’accéder à une source de streaming ou de référence, vous pouvez attacher la stratégie d’approbation suivante à un rôle IAM :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "kinesisanalytics.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Stratégie d’autorisations
Si vous créez un rôle IAM pour permettre à Amazon Kinesis Data Analytics de lire à partir d’une source de streaming d’une application, vous devez accorder des autorisations pour les actions de lecture pertinentes. En fonction de votre source (par exemple, un flux Kinesis, un flux de diffusion Firehose ou une source de référence dans un compartiment Amazon S3), vous pouvez joindre la politique d'autorisation suivante.
### Stratégie d’autorisations pour la lecture d’un flux Kinesis
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadInputKinesis",
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:GetShardIterator",
"kinesis:GetRecords",
"kinesis:ListShards"
],
"Resource": [
"arn:aws:kinesis:us-east-1:123456789012:stream/inputStreamName"
]
}
]
}
```
------
### Politique d'autorisation pour lire un stream de diffusion Firehose
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadInputFirehose",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:Get*"
],
"Resource": [
"arn:aws:firehose:us-east-1:123456789012:deliverystream/inputFirehoseName"
]
}
]
}
```
------
**Note**
L’autorisation `firehose:Get*` fait référence à une méthode accesseur interne qui utilise Kinesis Data Analytics pour accéder au flux. Il n'y a pas d'accès public pour un stream de diffusion Firehose.
Si vous demandez à Amazon Kinesis Data Analytics d’écrire la sortie dans des destinations externes dans la configuration de sortie de votre application, vous devez accorder les autorisations suivantes au rôle IAM.
### Stratégie d’autorisations pour l’écriture dans un flux Kinesis
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "WriteOutputKinesis",
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:PutRecord",
"kinesis:PutRecords"
],
"Resource": [
"arn:aws:kinesis:us-east-1:123456789012:stream/output-stream-name"
]
}
]
}
```
------
### Stratégie d'autorisations pour l'écriture dans un flux de diffusion Firehose
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "WriteOutputFirehose",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": [
"arn:aws:firehose:us-east-1:123456789012:deliverystream/output-firehose-name"
]
}
]
}
```
------
### Stratégie d’autorisations pour la lecture d’une source de données de référence à partir d’un compartiment Amazon S3
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": "*"
}
]
}
```
------
# Prévention du problème de l’adjoint confus entre services
Dans AWS, l'usurpation d'identité entre services peut se produire lorsqu'un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé pour agir sur les ressources d’un autre client, même s’il ne devrait pas avoir les autorisations appropriées, ce qui se traduit par un problème d’adjoint confus.
Pour éviter toute confusion chez les adjoints, AWS fournit des outils qui vous aident à protéger vos données pour tous les services en utilisant des responsables de service qui ont eu accès aux ressources de votre compte. Cette section se concentre sur la prévention du problème de l’adjoint confus entre services spécifique à Kinesis Data Analytics. Cependant, vous pouvez en savoir plus à ce sujet dans la section [Le problème de l’adjoint confus](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) du *Guide de l’utilisateur IAM*.
Dans le contexte de Kinesis Data Analytics for SQL, nous vous recommandons d'utiliser [les clés de contexte global aws SourceArn SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) [: et aws](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) : dans votre politique de confiance en matière de rôle afin de limiter l'accès au rôle aux seules demandes générées par les ressources attendues.
Utilisez `aws:SourceArn` si vous souhaitez qu’une seule ressource soit associée à l’accès entre services. Utilisez `aws:SourceAccount` si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices.
La valeur de la clé `aws:SourceArn` doit être l’ARN de la ressource utilisée par Kinesis Data Analytics, qui est spécifié au format suivant : `arn:aws:kinesisanalytics:region:account:resource`.
Le moyen le plus efficace de se protéger contre le problème d’adjoint confus consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource.
Si vous ne connaissez pas l’ARN complet de la ressource ou si vous indiquez plusieurs ressources, utilisez la clé `aws:SourceArn` avec des caractères génériques (\$1) pour les parties inconnues de l’ARN. Par exemple : `arn:aws:kinesisanalytics::111122223333:*`.
Bien que la plupart des actions de l'API Kinesis Data Analytics for SQL [AddApplicationInput](https://docs.aws.amazon.com/kinesisanalytics/latest/dev/API_AddApplicationInput.html), [CreateApplication](https://docs.aws.amazon.com/kinesisanalytics/latest/dev/API_CreateApplication.html)telles que [DeleteApplication](https://docs.aws.amazon.com/kinesisanalytics/latest/dev/API_DeleteApplication.html)et soient effectuées dans le contexte d'applications spécifiques, [DiscoverInputSchema](https://docs.aws.amazon.com/kinesisanalytics/latest/dev/API_DiscoverInputSchema.html)elles ne sont exécutées dans le contexte d'aucune application. Cela signifie que le rôle utilisé dans cette action ne doit pas spécifier complètement une ressource dans la clé de condition `SourceArn`. Voici un exemple d’utilisation d’un ARN générique :
```
{
...
"ArnLike":{
"aws:SourceArn":"arn:aws:kinesisanalytics:us-east-1:123456789012:*"
}
...
}
```
Le rôle par défaut généré par Kinesis Data Analytics pour SQL utilise ce caractère générique. Cela garantit un fonctionnement transparent de la détection du schéma d’entrée dans l’expérience de la console. Cependant, nous vous recommandons de modifier la stratégie d’approbation afin d’utiliser un ARN complet après avoir détecté le schéma afin de mettre en œuvre une atténuation complète de l’adjoint confus.
Les politiques relatives aux rôles que vous fournissez à Kinesis Data Analytics ainsi que les politiques de confiance relatives aux rôles générés pour vous peuvent utiliser les clés [de condition aws SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) : [et aws SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) :.
Afin de vous protéger contre le problème d’adjoint confus, effectuez les tâches suivantes :
**Pour lutter contre le problème de l’adjoint confus**
1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Choisissez **Rôles**, puis choisissez le rôle que vous souhaitez modifier.
1. Choisissez **Modifier la politique**.
1. Sur la page **Modifier la politique d’approbation**, remplacez la politique JSON par défaut par une stratégie qui utilise l’une des clés de contexte de condition globale `aws:SourceArn` et `aws:SourceAccount` ou les deux. Voir l’exemple de stratégie suivant :
1. Choisissez **Mettre à jour une politique**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"kinesisanalytics.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"Account ID"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:kinesisanalytics:us-east-1:123456789012:application/my-app"
}
}
}
]
}
```
------
# Authentification et contrôle d’accès pour
L'accès à requiert des informations d'identifications. Ces informations d'identification doivent être autorisées à accéder à AWS des ressources, telles qu'une application ou une instance Amazon Elastic Compute Cloud (Amazon EC2). Les sections suivantes décrivent comment utiliser [Gestion des identités et des accès AWS (IAM) et ](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) pour contribuer à sécuriser l'accès à vos ressources.
## Contrôle d’accès
Vous pouvez avoir des informations d'identification valides pour authentifier vos demandes, mais à moins d'avoir les autorisations requises, vous ne pouvez pas créer de ressources ni accéder à de telles ressources. Par exemple, vous devez disposer d'autorisations pour créer une application .
Les sections suivantes décrivent comment gérer les autorisations pour . Nous vous recommandons de lire d’abord la présentation.
+ [Présentation de la gestion des autorisations d'accès à vos ressources](access-control-overview.md)
+ [Utilisation des stratégies basées sur une identité (Politiques IAM) pour](using-identity-based-policies.md)
+ [Autorisations d’API : référence des actions, des autorisations et des ressources](api-permissions-reference.md)
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Présentation de la gestion des autorisations d'accès à vos ressources
**Avertissement**
Pour les nouveaux projets, nous vous recommandons d’utiliser le nouveau service géré pour Apache Flink Studio plutôt que les applications Kinesis Data Analytics pour SQL. Le service géré pour Apache Flink Studio allie facilité d’utilisation et capacités analytiques avancées, ce qui vous permet de créer des applications sophistiquées de traitement des flux en quelques minutes.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
**Note**
Un *administrateur de compte* (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l'utilisateur IAM*.
**Topics**
+ [Ressources et opérations](#access-control-resources)
+ [Présentation de la propriété des ressources](#access-control-resource-ownership)
+ [Gestion de l'accès aux ressources](#manage-access-overview)
+ [Spécification des éléments d'une politique : actions, effets et principaux](#specify-policy-elements)
+ [Spécification de conditions dans une politique](#specifying-conditions-overview)
## Ressources et opérations
La ressource principale est une *application*. Dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique.
Ces ressources sont associées à des noms de ressources Amazon uniques (ARNs), comme indiqué dans le tableau suivant.
****
| Type de ressource | Format ARN |
| --- | --- |
| Application | `arn:aws:kinesisanalytics:region:account-id:application/application-name` |
fournit un ensemble d’opérations pour utiliser les ressources. Pour obtenir la liste des opérations disponibles, consultez [Actions](API_Operations.md).
## Présentation de la propriété des ressources
Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'[entité principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (c'est-à-dire le compte root, un utilisateur ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :
+ Si vous utilisez les informations d'identification de votre compte root Compte AWS pour créer une application, vous Compte AWS êtes le propriétaire de la ressource. (Dans , la ressource est une application.)
+ Si vous créez un utilisateur dans votre compte Compte AWS et que vous lui accordez l'autorisation de créer une application, celui-ci peut créer une application. Cependant, c'est à vous Compte AWS, à laquelle appartient l'utilisateur, que appartient la ressource de l'application. Nous vous recommandons vivement d’accorder des autorisations aux rôles et non aux utilisateurs.
+ Si vous créez un rôle IAM Compte AWS avec les autorisations nécessaires pour créer une application, toute personne capable d'assumer ce rôle peut créer une application. C'est à vous Compte AWS, à laquelle appartient l'utilisateur, que vous êtes propriétaire de la ressource de l'application.
## Gestion de l'accès aux ressources
Une *politique d'autorisation* décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
**Note**
Cette section décrit l'utilisation d'IAM dans le contexte d' . Elle ne fournit pas d'informations détaillées sur le service IAM. Pour une documentation complète sur IAM, veuillez consulter [Qu'est-ce qu'IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, veuillez consulter [Référence de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.
Les politiques qui sont associées à une identité IAM sont appelées des politiques *basées sur l'identité* (politiques IAM). Les stratégies qui sont associées à une ressource sont appelées des stratégies *basées sur les ressources*. prend en charge uniquement les stratégies basées sur l’identité (politiques IAM).
**Topics**
+ [Politiques basées sur une identité (politiques IAM)](#manage-access-iam-policies)
+ [Politiques basées sur une ressource](#manage-access-resource-policies)
### Politiques basées sur une identité (politiques IAM)
Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :
+ **Attacher une stratégie d’autorisations à un utilisateur ou à un groupe de votre compte** : pour autoriser un utilisateur à créer une ressource, comme une application, vous pouvez attacher une stratégie d’autorisations à un utilisateur ou à un groupe auquel l’utilisateur appartient.
+ **Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes)** : vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes. Par exemple, l'administrateur du compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre Compte AWS (par exemple, le compte B) ou à un service Amazon comme suit :
1. L'administrateur du compte A crée un rôle IAM et attache une politique d'autorisation à ce rôle qui accorde des autorisations sur les ressources dans le compte A.
1. L'administrateur du compte A lie une politique d'approbation au rôle identifiant le compte B comme principal pouvant assumer ce rôle.
1. L’administrateur du compte B peut alors déléguer les autorisations pour affecter ce rôle à tous les utilisateurs figurant dans le compte B. Les utilisateurs du compte B sont ainsi autorisés à créer des ressources ou à y accéder dans le compte A. Le principal dans la stratégie d’approbation peut également être un principal de service Amazon si vous souhaitez accorder à un service Amazon des autorisations pour assumer ce rôle.
Pour en savoir plus sur l'utilisation d'IAM pour déléguer des autorisations, consultez [Gestion des accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *Guide de l'utilisateur IAM*.
Voici un exemple de stratégie qui autorise l’action `kinesisanalytics:CreateApplication `, ce qui est nécessaire pour créer une application.
**Note**
Voici un exemple de stratégie de présentation. Lorsque vous associez la politique à l'utilisateur, celui-ci pourra créer une application à l'aide du AWS CLI AWS SDK. Mais l'utilisateur aura besoin d'autres autorisations pour configurer l'entrée et sortie. En outre, l'utilisateur aura besoin d'autorisations supplémentaires lors de l'utilisation de la console. Les sections suivantes fournissent de plus amples informations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1473028104000",
"Effect": "Allow",
"Action": [
"kinesisanalytics:CreateApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
Pour plus d’informations sur l’utilisation des stratégies basées sur l’identité avec , voir [Utilisation des stratégies basées sur une identité (Politiques IAM) pour](using-identity-based-policies.md). Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez [Identités (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *Guide de l'utilisateur IAM*.
### Politiques basées sur une ressource
D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d'accès à ce compartiment. ne prend pas en charge les politiques basées sur une ressource.
## Spécification des éléments d'une politique : actions, effets et principaux
Pour chaque ressource , le service définit un ensemble d'opérations d'API. Pour accorder des autorisations pour ces opérations d'API, définit un ensemble d'actions que vous pouvez spécifier dans une politique. Certaines opérations d'API peuvent exiger des autorisations pour plusieurs actions afin de réaliser l'opération d'API. Pour plus d'informations sur les ressources et les opérations de l'API, consultez [Ressources et opérations](#access-control-resources) et [Actions](API_Operations.md).
Voici les éléments les plus élémentaires d'une politique :
+ **Ressource :** vous utilisez un nom Amazon Resource Name (ARN) pour identifier la ressource à laquelle s'applique la politique. Pour de plus amples informations, veuillez consulter [Ressources et opérations](#access-control-resources).
+ **Action :** vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, vous pouvez utiliser `create` pour autoriser les utilisateurs à créer une application.
+ **Effet** - Vous spécifiez l'effet produit, autorisation ou refus, lorsque l'utilisateur demande l'action spécifique. Si vous n'accordez pas explicitement l'accès pour (autoriser) une ressource, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
+ **Principal** – dans les politiques basées sur une identité (politiques IAM), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'applique uniquement aux politiques basées sur une ressource). ne prend pas en charge les politiques basées sur une ressource.
Pour en savoir plus sur la syntaxe et les descriptions des politiques IAM, veuillez consulter [Référence de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.
Pour obtenir une liste des présentant toutes les opérations d’API, ainsi que les ressources auxquelles elles s’appliquent, consultez [Autorisations d’API : référence des actions, des autorisations et des ressources](api-permissions-reference.md).
## Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de la politique d’accès pour spécifier les conditions définissant quand une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) dans le *Guide de l'utilisateur IAM*.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à . Cependant, il existe des AWS clés de condition larges que vous pouvez utiliser le cas échéant. Pour obtenir la liste complète des touches AWS-wide, consultez la section [Clés disponibles pour les conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
# Utilisation des stratégies basées sur une identité (Politiques IAM) pour
Les exemples suivants de stratégies basées sur les identités illustrent comment un administrateur de compte peut attacher des stratégies d’autorisation à des identités IAM (autrement dit, des utilisateurs, des groupes et des rôles) et ainsi accorder des autorisations pour effectuer des opérations sur les ressources.
**Important**
Nous vous recommandons tout d'abord d'examiner les rubriques de présentation qui détaillent les concepts de base et les options disponibles pour gérer l'accès à vos ressources . Pour de plus amples informations, veuillez consulter [Présentation de la gestion des autorisations d'accès à vos ressources](access-control-overview.md).
**Topics**
+ [Autorisations requises pour utiliser la console](#console-permissions)
+ [Stratégies (prédéfinies) gérées par Amazon pour](#access-policy-aws-managed-policies)
+ [Exemples de politiques gérées par le client](#access-policy-customer-managed-examples)
Un exemple de politique d’autorisation est exposé ci-dessous.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1473028104000",
"Effect": "Allow",
"Action": [
"kinesisanalytics:CreateApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
La stratégie comporte une instruction :
+ La première instruction accorde les autorisations pour une action (`kinesisanalytics:CreateApplication`) au niveau d’une ressource en utilisant l’Amazon Resource Name (ARN) de l’application. Dans ce cas, l'ARN spécifie un caractère générique (\$1) pour indiquer que l'autorisation est accordée pour n'importe quelle ressource.
Pour visualiser un tableau répertoriant toutes les opérations d’API et les ressources auxquelles elles s’appliquent, voir [Autorisations d’API : référence des actions, des autorisations et des ressources](api-permissions-reference.md).
## Autorisations requises pour utiliser la console
Pour qu'un utilisateur puisse utiliser la console , vous devez lui accorder les autorisations nécessaires. Par exemple, si vous voulez autoriser l'utilisateur à créer une application, vous devez lui accorder des autorisations qui lui montrent les sources de streaming dans le compte pour qu'il puisse configurer l'entrée et la sortie au niveau de la console.
Nous vous recommandons la procédure suivante :
+ Utilisez les stratégies gérées par Amazon pour accorder des autorisations utilisateur. Pour obtenir les stratégies disponibles, consultez [Stratégies (prédéfinies) gérées par Amazon pour](#access-policy-aws-managed-policies).
+ Créez des stratégies personnalisées. Dans ce cas, nous vous recommandons de consulter l'exemple fourni dans cette section. Pour de plus amples informations, veuillez consulter [Exemples de politiques gérées par le client](#access-policy-customer-managed-examples).
## Stratégies (prédéfinies) gérées par Amazon pour
AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Ces stratégies gérées par Amazon octroient les autorisations requises dans les cas d’utilisation courants, afin de vous épargner les réflexions sur les autorisations requises. Pour plus d’informations, consultez [Stratégies gérées par Amazon](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
Les stratégies gérées par Amazon suivantes, que vous pouvez attacher aux utilisateurs de votre compte, sont propres à :
+ **`AmazonKinesisAnalyticsReadOnly`**— Accorde des autorisations pour les actions qui permettent à un utilisateur de répertorier les applications et de revoir input/output la configuration. Il accorde également des autorisations qui permettent à un utilisateur de consulter la liste des flux Kinesis et des flux de diffusion Firehose. Comme l'application est en cours d'exécution, l'utilisateur peut afficher les données source et les résultats des analyses en temps réel sur la console.
+ **`AmazonKinesisAnalyticsFullAccess`** : accorde les autorisations pour toutes les actions et toutes les autres autorisations qui permettent à l’utilisateur de créer et gérer des applications. Toutefois, notez les points suivants :
+ Ces autorisations ne sont pas suffisantes si l'utilisateur souhaite créer un nouveau rôle IAM dans la console (ces autorisations permettent à l'utilisateur de sélectionner un rôle existant). Si vous souhaitez que l’utilisateur puisse créer un rôle IAM dans la console, ajoutez la stratégie gérée par Amazon `IAMFullAccess`.
+ Un utilisateur doit avoir l’autorisation pour l’action `iam:PassRole` afin de spécifier un rôle IAM lors de la configuration d’une application. Cette stratégie gérée par Amazon accorde à l’utilisateur l’autorisation pour l’action `iam:PassRole` uniquement sur les rôles IAM qui commencent par le préfixe `service-role/kinesis-analytics`.
Si l’utilisateur souhaite configurer l’application avec un rôle qui n’a pas ce préfixe, vous devez d’abord accorder explicitement l’autorisation utilisateur pour l’action `iam:PassRole` sur le rôle spécifique.
Vous pouvez également créer vos propres politiques IAM personnalisées afin d'accorder des autorisations pour les actions et les ressources . Vous pouvez attacher ces stratégies personnalisées aux utilisateurs ou groupes qui nécessitent ces autorisations.
## Exemples de politiques gérées par le client
Cette section fournit un ensemble d'exemples de stratégies que vous pouvez associer à un utilisateur. Si vous créez des stratégies pour la première fois, nous vous recommandons de commencer par créer un utilisateur dans votre compte, puis de lui associer les stratégies dans l'ordre décrit dans les étapes de cette section. Vous pouvez alors utiliser la console pour vérifier les effets de chaque stratégie lorsque vous l'attachez à l'utilisateur.
Au départ, l'utilisateur ne dispose pas des autorisations requises et ne peut donc exécuter aucune action dans la console. À mesure que vous lui associez des stratégies, vous pouvez vérifier que l'utilisateur peut exécuter diverses actions dans la console.
Nous vous recommandons d'utiliser deux fenêtres de navigateur. Dans une fenêtre, créez l'utilisateur et accordez des autorisations. Dans l'autre, connectez-vous à l' AWS Management Console aide des informations d'identification de l'utilisateur et vérifiez les autorisations que vous leur accordez.
Pour des exemples qui illustrent comment créer un rôle IAM que vous pouvez utiliser comme rôle d’exécution pour votre application, consultez [Création de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [Étape 1 : Création d'un utilisateur IAM](#console-permissions-createuser)
+ [Étape 2 : Octroyer des autorisations à l’utilisateur pour des actions qui sont pas spécifiques à](#console-permissions-grant-non-ka-permissions)
+ [Étape 3 : Permettre à l'utilisateur d'afficher une liste d'applications et de voir des détails](#console-permissions-grant-list-applications)
+ [Étape 4 : Permettre à l'utilisateur de démarrer une application spécifique](#console-permissions-start-app)
+ [Étape 5 : Permettre à l'utilisateur de créer une application](#console-permissions-grant-create-applications)
+ [Étape 6 : Autoriser l’application à utiliser le prétraitement Lambda](#console-permissions-grant-lambda)
### Étape 1 : Création d'un utilisateur IAM
Vous devez d’abord créer un utilisateur, l’ajouter à un groupe IAM possédant des autorisations d’administration, puis lui attribuer ces autorisations. Vous pouvez ensuite accéder à AWS l'aide d'une URL spéciale et des informations d'identification de cet utilisateur.
Pour obtenir des instructions, veuillez consulter [Création de votre premier groupe d'utilisateurs et d'administrateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) dans le *Guide de l'utilisateur IAM*.
### Étape 2 : Octroyer des autorisations à l’utilisateur pour des actions qui sont pas spécifiques à
Tout d'abord, nous devons accorder une autorisation à l'utilisateur pour toutes les actions qui ne sont pas spécifiques à et dont l'utilisateur aura besoin lorsqu'il utilise des applications . Il s'agit notamment des autorisations pour travailler avec les flux (actions Amazon Kinesis Data Streams, actions Amazon Data Firehose) et des autorisations pour les actions. CloudWatch Attachez la stratégie suivante à l'utilisateur.
Vous devez mettre à jour la stratégie en fournissant un nom de rôle IAM pour lequel vous voulez accorder l'autorisation `iam:PassRole` ou spécifier un caractère générique (\$1) indiquant tous les rôles IAM. Il ne s'agit pas d'une pratique sécurisée ; cependant, vous pouvez ne pas disposer d'un rôle IAM créé lors de ce test.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesis:CreateStream",
"kinesis:DeleteStream",
"kinesis:DescribeStream",
"kinesis:ListStreams",
"kinesis:PutRecord",
"kinesis:PutRecords"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:ListDeliveryStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "logs:GetLogEvents",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:ListPolicyVersions",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/service-role/role-name"
}
]
}
```
------
### Étape 3 : Permettre à l'utilisateur d'afficher une liste d'applications et de voir des détails
La stratégie suivante accorde à un utilisateur les autorisations suivantes :
+ L'autorisation pour l'action `kinesisanalytics:ListApplications` permettant à l'utilisateur d'afficher la liste des applications. Notez qu'il s'agit d'un appel d'API de niveau service ; vous spécifiez donc « \$1 » comme valeur de `Resource`.
+ L'autorisation pour l'action `kinesisanalytics:DescribeApplication` pour pouvoir obtenir des informations sur les applications.
Ajoutez cette stratégie à l'utilisateur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:ListApplications"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:DescribeApplication"
],
"Resource": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/*"
}
]
}
```
------
Vérifiez ces autorisations en vous connectant à la console à l’aide des informations d’identification de l’utilisateur.
### Étape 4 : Permettre à l'utilisateur de démarrer une application spécifique
Si vous voulez que l'utilisateur puisse démarrer l'une des applications existantes, vous pouvez lui attacher la stratégie suivante. Elle fournit l'autorisation pour l'action `kinesisanalytics:StartApplication`. Vous devez mettre à jour la politique en fournissant votre identifiant de compte, votre AWS région et le nom de l'application.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:StartApplication"
],
"Resource": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/application-name"
}
]
}
```
------
### Étape 5 : Permettre à l'utilisateur de créer une application
Si vous voulez que l'utilisateur puisse créer une application , vous pouvez ensuite lui attacher la stratégie suivante. Vous devez mettre à jour la politique et fournir une AWS région, votre identifiant de compte et soit un nom d'application spécifique que vous souhaitez que l'utilisateur crée, soit un « \$1 » afin que l'utilisateur puisse spécifier n'importe quel nom d'application (et ainsi créer plusieurs applications).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1473028104000",
"Effect": "Allow",
"Action": [
"kinesisanalytics:CreateApplication"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"kinesisanalytics:StartApplication",
"kinesisanalytics:UpdateApplication",
"kinesisanalytics:AddApplicationInput",
"kinesisanalytics:AddApplicationOutput"
],
"Resource": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/application-name"
}
]
}
```
------
### Étape 6 : Autoriser l’application à utiliser le prétraitement Lambda
Si vous voulez que l’application puisse utiliser le prétraitement Lambda, attachez la stratégie suivante au rôle.
```
{
"Sid": "UseLambdaFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": ""
}
```
# Autorisations d’API : référence des actions, des autorisations et des ressources
Lorsque vous configurez [Contrôle d’accès](authentication-and-access-control.md#access-control) et que vous créez une stratégie d'autorisation que vous pouvez attacher à une identité IAM (stratégies basées sur une identité), vous pouvez utiliser la liste de ci-dessous comme référence. Le tableau chaque opération d'API, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action et la AWS ressource pour laquelle vous pouvez accorder les autorisations. Vous spécifiez les actions dans le champ `Action` de la politique ainsi que la valeur des ressources dans le champ `Resource` de la politique.
Vous pouvez utiliser des AWS clés de condition larges dans vos polices pour exprimer des conditions. Pour obtenir la liste complète des touches AWS-wide, consultez la section [Clés disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
**Note**
Pour indiquer une action, utilisez le préfixe `kinesisanalytics` suivi du nom de l'opération d'API (par exemple, `kinesisanalytics:AddApplicationInput`).
Utilisez les barres de défilement pour voir le reste du tableau.
**API et autorisations requises pour les actions**
| Opérations d’API | Autorisations requises (Action d’API) | Ressources |
| --- | --- | --- |
| [AddApplicationInput](API_AddApplicationInput.md) | kinesisanalytics:AddApplicationInput | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [AddApplicationOutput](API_AddApplicationOutput.md) | kinesisanalytics:AddApplicationOutput | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [AddApplicationReferenceDataSource](API_AddApplicationReferenceDataSource.md) | kinesisanalytics:AddApplicationReferenceDataSource | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [CreateApplication](API_CreateApplication.md) | kinesisanalytics:CreateApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [DeleteApplication](API_DeleteApplication.md) | kinesisanalytics:DeleteApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [DeleteApplicationOutput](API_DeleteApplicationOutput.md) | kinesisanalytics:DeleteApplicationOutput | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [DeleteApplicationReferenceDataSource](API_DeleteApplicationReferenceDataSource.md) | kinesisanalytics:DeleteApplicationReferenceDataSource | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [DescribeApplication](API_DescribeApplication.md) | kinesisanalytics:DescribeApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [DiscoverInputSchema](API_DiscoverInputSchema.md) | kinesisanalytics:DiscoverInputSchema | \$1 |
| [ListApplications](API_ListApplications.md) | kinesisanalytics:ListApplications | \$1 |
| [StartApplication](API_StartApplication.md) | kinesisanalytics:StartApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [StopApplication](API_StopApplication.md) | kinesisanalytics:StopApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| [UpdateApplication](API_UpdateApplication.md) | kinesisanalytics:UpdateApplication | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
| Accès ou exemples de données dans la console | kinesisanalytics:GetApplicationState | `arn:aws:kinesisanalytics: region:accountId:application/application-name` |
## GetApplicationState
La console utilise une méthode interne appelée `GetApplicationState` pour échantillonner les données d'application ou y accéder. Votre application de service doit disposer des autorisations permettant à l’API interne `kinesisanalytics:GetApplicationState` d’échantillonner les données d’application ou d’y accéder via l’ AWS Management Console.
# Surveillance d'Amazon Kinesis Data Analytics
Kinesis Data Analytics fournit des fonctionnalités de surveillance pour vos applications. Pour de plus amples informations, veuillez consulter [Surveillance de pour les applications SQL](monitoring-overview.md).
# Validation de conformité pour les applications Amazon Kinesis Data Analytics pour SQL
Des auditeurs tiers évaluent la sécurité et la conformité d'Amazon Kinesis Data Analytics dans le cadre de AWS plusieurs programmes de conformité. Il s'agit notamment des certifications SOC, PCI, HIPAA.
Pour obtenir la liste des AWS services concernés par des programmes de conformité spécifiques, consultez [Amazon Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/). Pour obtenir des informations générales, consultez [Programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/).
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, consultez la section [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Votre responsabilité de conformité lors de l’utilisation de Kinesis Data Analytics est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise, ainsi que par la législation et la réglementation applicables. Si votre utilisation de Kinesis Data Analytics est soumise à la conformité aux normes HIPAA ou PCI, AWS fournit des ressources pour vous aider :
+ [Guides de démarrage rapide sur la sécurité et la conformité](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) : ces guides de déploiement abordent les considérations architecturales et indiquent les étapes à suivre pour déployer des environnements de base axés sur la sécurité et la conformité sur. AWS
+ Livre blanc [sur l'architecture pour la sécurité et la conformité HIPAA — Ce livre blanc](https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf) décrit comment les entreprises peuvent créer des applications conformes à la loi HIPAA. AWS
+ [AWS Ressources relatives à la conformité](https://aws.amazon.com/compliance/resources/) — Cette collection de classeurs et de guides peut s'appliquer à votre secteur d'activité et à votre région.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Ce AWS service évalue dans quelle mesure les configurations de vos ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ce AWS service fournit une vue complète de l'état de votre sécurité interne, AWS ce qui vous permet de vérifier votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité.
# Résilience dans Amazon Kinesis Data Analytics
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. AWS Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS mondiale](https://aws.amazon.com/about-aws/global-infrastructure/).
Outre l'infrastructure AWS mondiale, Kinesis Data Analytics propose plusieurs fonctionnalités pour répondre à vos besoins en matière de résilience et de sauvegarde des données.
## Reprise après sinistre
Kinesis Data Analytics s’exécute en mode sans serveur et s’occupe des dégradations de l’hôte, de la disponibilité des zones de disponibilité et d’autres problèmes liés à l’infrastructure en effectuant une migration automatique. Lorsque cela se produit, Kinesis Data Analytics permet de s’assurer que l’application est traitée sans perte de données. Pour de plus amples informations, veuillez consulter [Modèle de diffusion pour la conservation de la sortie d'application dans une destination externe](failover-checkpoint.md).
# Sécurité de l’infrastructure dans les applications Kinesis Data Analytics pour SQL
En tant que service géré, Amazon Kinesis Data Analytics est protégé par AWS les procédures de sécurité du réseau mondial décrites dans [le livre blanc Amazon Web Services : présentation des processus de sécurité](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Vous utilisez des appels d'API AWS publiés pour accéder à Kinesis Data Analytics via le réseau. Les clients doivent prendre en charge le protocole TLS (Transport Layer Security) 1.2 ou version ultérieure. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.
# Bonnes pratiques de sécurité pour Kinesis Data Analytics
Amazon Kinesis Data Analytics fournit différentes fonctionnalités de sécurité à prendre en compte lorsque vous développez et implémentez vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
## Utilisation de rôles IAM pour accéder à d’autres services Amazon
Votre application Kinesis Data Analytics doit disposer d'informations d'identification valides pour accéder aux ressources d'autres services, tels que les flux de données Kinesis, les flux de diffusion Firehose ou les buckets Amazon S3. Vous ne devez pas stocker les AWS informations d'identification directement dans l'application ou dans un compartiment Amazon S3. Il s’agit d’autorisations à long terme qui ne font pas automatiquement l’objet d’une rotation et qui pourraient avoir un impact commercial important si elles étaient compromises.
Vous devez plutôt utiliser un rôle IAM pour gérer des informations d’identification temporaires afin que votre application accède à d’autres ressources. Lorsque vous utilisez un rôle, vous n’avez pas à utiliser d’informations d’identification à long terme pour accéder à d’autres ressources.
Pour plus d’informations, consultez les rubriques suivantes dans le *Guide de l’utilisateur IAM* :
+ [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [Scénarios courants pour les rôles : utilisateurs, applications et services.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html)
## Implémentation d'un chiffrement côté serveur dans des ressources dépendantes
Les données au repos et les données en transit sont chiffrées dans Kinesis Data Analytics, et ce chiffrement ne peut pas être désactivé. Vous devez implémenter le chiffrement côté serveur dans vos ressources dépendantes, telles que les flux de données Kinesis, les flux de diffusion Firehose et les compartiments Amazon S3. Pour plus d'informations sur l'implémentation du chiffrement côté serveur dans les ressources dépendantes, reportez-vous à [Protection des données](data-protection.md).
## CloudTrail À utiliser pour surveiller les appels d'API
Kinesis Data Analytics est intégré AWS CloudTrailà un service qui fournit un enregistrement des actions effectuées par un utilisateur, un rôle ou un service Amazon dans Kinesis Data Analytics.
À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à Kinesis Data Analytics, l'adresse IP à partir de laquelle la demande a été effectuée, l'auteur de la demande, la date à laquelle elle a été faite, ainsi que des informations supplémentaires.
Pour de plus amples informations, veuillez consulter [Journalisation des appels d'API AWS CloudTrail avec](logging-using-cloudtrail.md).