Amazon MSF でカスタマーマネージドキーを使用 - Managed Service for Apache Flink

Amazon Managed Service for Apache Flink (Amazon MSF) は、以前は Amazon Kinesis Data Analytics for Apache Flink と呼ばれていました。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon MSF でカスタマーマネージドキーを使用

CMK ポリシーの対象となる Amazon MSF アプリケーションを確立、管理、運用するとき、次の要素を考慮する必要があります。

カスタマーマネージドキー

これはキーポリシーキーマテリアルです。実行中のアプリケーションストレージおよび永続的なアプリケーションストレージでアプリケーションの状態を暗号化するために使用されるキーを作成する必要があります。

アプリケーションライフサイクルオペレータ (API 発信者)

これは Operator の IAM ユーザーまたはロールです。オペレータは人間であれば、Amazon MSF アプリケーションを作成、デプロイ、実行する CI/CD パイプラインなどのオートメーションである場合もあります。アプリケーションライフサイクルオペレータは、IAM ロールまたはユーザーのいずれかです。

注記

キー管理者およびオペレータが同じ人物である可能性があります。この場合、常に個別のロールまたはユーザーを使用することをお勧めします。

アプリケーション

これは作成する Amazon MSF アプリケーションです。アプリケーション実行 (IAM) ロールは、CMK を使用するために変更する必要はありません。Amazon MSF の IAM の詳細については、「Amazon Managed Service for Apache Flink のIDとアクセスマネジメント」を参照してください。

ポリシー間の依存関係

CMK に割り当てられたキーポリシーおよびアプリケーションライフサイクルオペレータのアクセス許可を定義する IAM ポリシーには、相互依存関係があります。次の順序で作成できます。

  • IAM ポリシーが CMK のアクセス許可を定義せず、オペレータ IAM ユーザーまたはロールを作成します。オペレータは AOK でアプリケーションを作成します。

  • KMS キーを管理するアクセス許可を持つキー管理者を作成します。キー管理者は CMK を作成します。キーポリシーはオペレータおよび管理者ロール ARN、ならびにアプリケーション ARN を参照します。詳細については、「KMS キーポリシーを作成する」を参照してください。

  • オペレータの IAM ポリシーを作成して、アプリケーションの CMK を管理できるようにします。詳細については、「アプリケーションライフサイクルオペレータ (API 発信者) のアクセス許可 」を参照してください。新しい IAM ポリシーをオペレータにアタッチします。オペレータは、CMK を有効にするアプリケーションを更新します。詳細については、「CMK を使用するように既存のアプリケーションを更新する」を参照してください。

アプリケーションが存在しない場合、CMK なしでアプリケーションを作成します。

次の図では、CMK が Amazon MSF に実装される方法が示されます。

Amazon MSF でのカスタマーマネージドキーの実装。

  1. カスタマーマネージドキー (CMK): キーポリシーおよびキーマテリアルで構成されます。

  2. キー管理者: KeyAdmin IAM ユーザーまたはロール。

  3. アプリケーションライフサイクルオペレーター (API 発信者): オペレータ IAM ユーザーまたはロール。

  4. アプリケーション: 実行 (IAM) ロールがアタッチされています。