Autorizzazioni per utilizzare le chiavi KMS generate dall'utente - Flusso di dati Amazon Kinesis
Autorizzazioni di produttore di esempioAutorizzazioni di consumo di esempioAutorizzazioni di amministratore del flusso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per utilizzare le chiavi KMS generate dall'utente

Prima di utilizzare la crittografia lato server con una chiave KMS generata dall'utente, è necessario configurare le policy AWS KMS chiave per consentire la crittografia dei flussi e la crittografia e la decrittografia dei record di flusso. Per esempi e ulteriori informazioni sulle AWS KMS autorizzazioni di, consulta la sezione relativa alle Autorizzazioni dell'API AWS KMS: Documentazione di riferimento per operazioni e risorse.

Nota

L'utilizzo della chiave del servizio predefinita per la crittografia non richiede l'applicazione delle autorizzazioni &IAM; personalizzate.

Prima di utilizzare le chiavi master KMS generate dall'utente, assicurati che i producer e i consumer del flusso Kinesis (principali IAM) siano utenti nella policy della chiave master KMS. In caso contrario, le operazioni di lettura e scrittura dai flussi non riusciranno, causando perdite di dati, ritardi delle elaborazioni o blocchi delle applicazioni. Puoi gestire le autorizzazioni relative alle chiavi KMS tramite le policy IAM. Per ulteriori informazioni, consulta Utilizzo di policy IAM con AWS KMS.

Autorizzazioni di produttore di esempio

I producer del flusso Kinesis devono disporre dell'autorizzazione kms:GenerateDataKey.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:PutRecord",
            "kinesis:PutRecords"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Autorizzazioni di consumo di esempio

I consumer del flusso Kinesis devono disporre dell'autorizzazione kms:Decrypt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:GetRecords",
            "kinesis:DescribeStream"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Servizio gestito da Amazon per Apache Flink e AWS Lambda utilizzano i ruoli per utilizzare i flussi Kinesis. Assicurati di aggiungere le autorizzazioni kms:Decrypt per i ruoli utilizzati da tali consumatori.

Autorizzazioni di amministratore del flusso

Gli amministratori del flusso Kinesis devono avere l'autorizzazione per chiamare kms:List* e kms:DescribeKey*.