Usar chaves gerenciadas pelo cliente no Amazon MSF - Managed Service for Apache Flink

Anteriormente, o Amazon Managed Service for Apache Flink (Amazon MSF) era conhecido como Amazon Kinesis Data Analytics for Apache Flink.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar chaves gerenciadas pelo cliente no Amazon MSF

É necessário considerar os seguintes fatores ao estabelecer, gerenciar e operar aplicativos Amazon MSF sujeitos a uma política de CMK.

Chave gerenciada pelo cliente

Esta é a política de chave e o material chave. Você precisará criar uma chave usada para criptografar o estado do seu aplicativo no armazenamento de aplicativos em execução e no armazenamento durável de aplicativos.

Operador do ciclo de vida do aplicativo (chamador de API)

Trata-se da função ou usuário do IAM para o Operator. O operador pode ser humano ou uma automação, como um CI/CD pipeline que criará, implantará e executará o aplicativo Amazon MSF. O operador do ciclo de vida do aplicativo pode ser uma função ou um perfil do IAM.

nota

É possível que o administrador e o operador da chave sejam a mesma pessoa. Nesse caso, recomendamos que você sempre use funções ou usuários separados.

Aplicação

Esse é o aplicativo Amazon MSF que você cria. O perfil do IAM de execução do aplicativo não exige alterações para usar a CMK. Para obter mais informações sobre o IAM no Amazon MSF, consulte Gerenciamento de identidade e acesso para o Amazon Managed Service for Apache Flink.

Dependências entre políticas

Há interdependências entre a política de chaves atribuída à CMK e a política do IAM que define as permissões do operador do ciclo de vida do aplicativo. Você pode criá-los na seguinte ordem:

  • Crie o usuário ou o perfil do IAM do operador sem que a política do IAM defina permissões para a CMK. O operador cria o aplicativo com AOK.

  • Crie o administrador de chaves com permissões para gerenciar as chaves KMS. O administrador da chave cria a CMK. A política principal faz referência à função ARNs de operador e administrador e ao ARN do aplicativo. Para obter mais informações, consulte Crie uma política de chave do KMS.

  • Crie uma política do IAM para o operador que permita gerenciar a CMK para o aplicativo. Para obter mais informações, consulte Permissões do operador do ciclo de vida do aplicativo (chamador de API) . Anexe a nova política do IAM ao operador. O operador atualiza o aplicativo habilitando a CMK. Para obter mais informações, consulte Atualize um aplicativo existente para usar a CMK.

Se o aplicativo não existir, crie o aplicativo sem CMK.

A ilustração a seguir mostra como a CMK é implementada no Amazon MSF.

Implementação de chaves gerenciadas pelo cliente no Amazon MSF.

  1. Chave gerenciada pelo cliente (CMK): compreende a política de chave e o material chave.

  2. Administrador chave: o usuário ou o perfil do IAM KeyAdmin.

  3. Operador do ciclo de vida do aplicativo (chamador de API): o usuário ou o perfil do IAM do operador.

  4. Aplicativo: tem um perfil do IAM de execução anexado.