Condivisione dell'accesso utilizzando policy basate su risorse - Flusso di dati Amazon Kinesis
Condivisione dell'accesso con funzioni su più account AWS LambdaCondivisione dell'accesso con i consumatori KCL su più accountCondivisione dell'accesso ai dati crittografati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condivisione dell'accesso utilizzando policy basate su risorse

Nota

Aggiornare una policy esistente basata sulle risorse significa sostituire quella già esistente, quindi assicurati di includere tutte le informazioni necessarie nella nuova policy.

Condivisione dell'accesso con funzioni su più account AWS Lambda

Operatore Lambda

  1. Vai alla console IAM per creare un ruolo IAM che verrà utilizzato come ruolo di esecuzione Lambda per la tua AWS Lambda funzione. Aggiungere la policy IAM policy AWSLambdaKinesisExecutionRole gestita con le autorizzazioni di invocazione Kinesis Data Streams e Lambda richieste. Questa policy concede anche l'accesso a tutte le potenziali risorse di Kinesis Data Streams a cui potresti avere accesso.

  2. Nella AWS Lambda console, crea una AWS Lambda funzione per elaborare i record in un flusso di dati Kinesis Data Streams e, durante la configurazione del ruolo di esecuzione, scegli il ruolo creato nel passaggio precedente.

  3. Fornisci il ruolo di esecuzione al proprietario della risorsa Kinesis Data Streams per la configurazione della policy delle risorse.

  4. Completa la configurazione della funzione Lambda.

Proprietario della risorsa di Kinesis Data Streams

  1. Ottieni il ruolo di esecuzione Lambda multi-account che richiamerà la funzione Lambda.

  2. Nella console di Amazon Kinesis Data Streams, scegli il flusso di dati. Scegli la scheda Condivisione del flusso di dati e poi il pulsante Crea una policy di condivisione per avviare l'editor visivo delle policy. Per condividere un consumatore registrato all'interno di un flusso di dati, scegli il consumatore e poi seleziona Crea una policy di condivisione. Puoi anche scrivere direttamente la policy JSON.

  3. Specifica il ruolo di esecuzione Lambda multi-account come principale e le operazioni Kinesis Data Streams esatte a cui condividi l'accesso. Ricorda di includere l'operazione kinesis:DescribeStream. Per ulteriori informazioni su esempi di policy delle risorse per Kinesis Data Streams, consulta Esempi di policy basate sulle risorse per il flusso di dati Kinesis.

  4. Scegli Crea policy o usa PutResourcePolicyper allegare la policy alla tua risorsa.

Condivisione dell'accesso con i consumatori KCL su più account

  • Se utilizzi KCL 1.x, assicurati di usare la versione KCL 1.15.0 o successive.

  • Se utilizzi KCL 2.x, assicurati di usare la versione KCL 2.5.3 o successive.

Operatore KCL

  1. Fornisci al proprietario della risorsa il tuo utente IAM o il ruolo IAM che eseguirà l'applicazione KCL.

  2. Chiedi al proprietario della risorsa il flusso di dati o l'ARN consumatore.

  3. Ricorda di specificare l'ARN del flusso fornito come parte della configurazione KCL.

    • Per KCL 1.x: utilizza il KinesisClientLibConfigurationcostruttore e fornisci l'ARN del flusso.

    • Per KCL 2.x: puoi fornire solo l'ARN dello stream o StreamTrackerla Kinesis Client Library. ConfigsBuilder Per StreamTracker, fornisci l'ARN del flusso e l'Epoch creazione dalla DynamoDB Lease Table generata dalla libreria. Se vuoi leggere da un consumatore registrato condiviso come Fan-out migliorato, utilizza StreamTracker e fornisci anche l'ARN consumatore.

Proprietario della risorsa di Kinesis Data Streams

  1. Ottieni l'utente IAM o il ruolo IAM multi-account che eseguirà l'applicazione KCL.

  2. Nella console di Amazon Kinesis Data Streams, scegli il flusso di dati. Scegli la scheda Condivisione del flusso di dati e poi il pulsante Crea una policy di condivisione per avviare l'editor visivo delle policy. Per condividere un consumatore registrato all'interno di un flusso di dati, scegli il consumatore e poi seleziona Crea una policy di condivisione. Puoi anche scrivere direttamente la policy JSON.

  3. Specifica l'utente IAM o il ruolo IAM dell'applicazione KCL su più account come le operazioni Kinesis Data Streams principali ed esatte a cui condividi l'accesso. Per ulteriori informazioni su esempi di policy delle risorse per Kinesis Data Streams, consulta Esempi di policy basate sulle risorse per il flusso di dati Kinesis.

  4. Scegli Crea policy o usa PutResourcePolicyper allegare la policy alla tua risorsa.

Condivisione dell'accesso ai dati crittografati

Se hai abilitato la crittografia lato server per un flusso di dati con chiave KMS AWS gestita da e desideri condividere l'accesso tramite una policy delle risorse, devi passare all'utilizzo della chiave gestita dal cliente (CMK). Per ulteriori informazioni, consulta Cos'è la crittografia lato server per Kinesis Streams?. Inoltre, devi consentire alle entità principali di condivisione di accedere alla CMK utilizzando le funzionalità di condivisione tra account di KMS. Ricorda di apportare la modifica anche alle policy IAM per le entità principali di condivisione. Per ulteriori informazioni, consulta Autorizzazione per gli utenti in altri account a utilizzare una chiave KMS.