Menggunakan kunci yang dikelola pelanggan di Amazon MSF - Layanan Terkelola untuk Apache Flink

Amazon Managed Service untuk Apache Flink (Amazon MSF) sebelumnya dikenal sebagai Amazon Kinesis Data Analytics untuk Apache Flink.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kunci yang dikelola pelanggan di Amazon MSF

Anda perlu mempertimbangkan faktor-faktor berikut saat membuat, mengelola, dan mengoperasikan aplikasi Amazon MSF yang tunduk pada kebijakan CMK.

Kunci yang dikelola pelanggan

Ini adalah kebijakan utama dan materi utama. Anda harus membuat kunci yang digunakan untuk mengenkripsi status aplikasi Anda dalam menjalankan penyimpanan aplikasi dan penyimpanan aplikasi yang tahan lama.

Operator siklus hidup aplikasi (pemanggil API)

Ini adalah pengguna atau peran Operator IAM. Operator dapat berupa manusia atau otomatisasi, seperti CI/CD pipeline yang akan membuat, menyebarkan, dan menjalankan aplikasi Amazon MSF. Operator siklus hidup aplikasi dapat berupa peran IAM atau pengguna.

catatan

Mungkin saja administrator dan operator kunci adalah orang yang sama. Dalam hal ini, kami menyarankan Anda untuk selalu menggunakan peran atau pengguna yang terpisah.

Aplikasi

Ini adalah aplikasi Amazon MSF yang Anda buat. Peran eksekusi aplikasi (IAM) tidak memerlukan perubahan untuk menggunakan CMK. Untuk informasi selengkapnya tentang IAM di Amazon MSF, lihat. Identity and Access Management untuk Amazon Managed Service untuk Apache Flink

Ketergantungan antar kebijakan

Ada saling ketergantungan antara kebijakan kunci yang ditetapkan ke CMK, dan kebijakan IAM yang menentukan izin operator siklus hidup aplikasi. Anda mungkin ingin membuatnya dalam urutan berikut:

  • Buat pengguna atau peran Operator IAM tanpa kebijakan IAM yang menentukan izin untuk CMK. Operator membuat aplikasi dengan AOK.

  • Buat administrator kunci dengan izin untuk mengelola kunci KMS. Administrator kunci membuat CMK. Referensi kebijakan utama ke peran Operator dan administrator ARNs, dan ke ARN aplikasi. Untuk informasi selengkapnya, lihat Buat kebijakan kunci KMS.

  • Buat kebijakan IAM untuk Operator yang memungkinkan mengelola CMK untuk aplikasi. Untuk informasi selengkapnya, lihat Izin operator siklus hidup aplikasi (pemanggil API) . Lampirkan kebijakan IAM baru ke Operator. Operator memperbarui aplikasi yang mengaktifkan CMK. Untuk informasi selengkapnya, lihat Perbarui aplikasi yang ada untuk menggunakan CMK.

Jika aplikasi tidak ada, buat aplikasi tanpa CMK.

Ilustrasi berikut menunjukkan bagaimana CMK diimplementasikan di Amazon MSF.

Implementasi kunci yang dikelola pelanggan di Amazon MSF.

  1. Customer managed key (CMK): Terdiri dari kebijakan utama dan materi utama.

  2. Administrator kunci: Pengguna atau peran KeyAdmin IAM.

  3. Operator siklus hidup aplikasi (pemanggil API): Pengguna atau peran IAM operator.

  4. Aplikasi: Memiliki peran eksekusi (IAM) terlampir.