Usando chaves gerenciadas pelo cliente no Amazon MSF - Managed Service for Apache Flink

O Amazon Managed Service para Apache Flink (Amazon MSF) era conhecido anteriormente como Amazon Kinesis Data Analytics for Apache Flink.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando chaves gerenciadas pelo cliente no Amazon MSF

Você precisa considerar os seguintes fatores ao estabelecer, gerenciar e operar aplicativos Amazon MSF sujeitos a uma política de CMK.

Chave gerenciada pelo cliente

Esta é a política e o material chave. Você precisará criar uma chave que seja usada para criptografar o estado do seu aplicativo no armazenamento de aplicativos em execução e no armazenamento durável de aplicativos.

Operador do ciclo de vida do aplicativo (chamador de API)

Esse é o usuário ou a função do Operator IAM. O operador pode ser humano ou uma automação, como um CI/CD pipeline que criará, implantará e executará o aplicativo Amazon MSF. O operador do ciclo de vida do aplicativo pode ser uma função ou um usuário do IAM.

nota

É possível que o administrador e o operador da chave sejam a mesma pessoa. Nesse caso, recomendamos que você sempre use funções ou usuários separados.

Aplicação

Esse é o aplicativo Amazon MSF que você cria. A função de execução do aplicativo (IAM) não exige alterações para usar a CMK. Para obter mais informações sobre o IAM no Amazon MSF, consulteGerenciamento de identidade e acesso para o Amazon Managed Service for Apache Flink.

Dependências entre políticas

Há interdependências entre a política de chaves atribuída à CMK e a política do IAM que define as permissões do operador do ciclo de vida do aplicativo. Talvez você queira criá-los na seguinte ordem:

  • Crie o usuário ou a função do Operator IAM sem que a política do IAM defina permissões para a CMK. O operador cria o aplicativo com o AOK.

  • Crie o administrador de chaves com permissões para gerenciar as chaves KMS. O administrador da chave cria a CMK. A política principal faz referência à função ARNs de operador e administrador e ao ARN do aplicativo. Para obter mais informações, consulte Crie uma política de chaves do KMS.

  • Crie uma política do IAM para o operador que permita gerenciar a CMK para o aplicativo. Para obter mais informações, consulte Permissões do operador do ciclo de vida do aplicativo (chamador da API) . Anexe a nova política do IAM ao operador. O operador atualiza o aplicativo habilitando a CMK. Para obter mais informações, consulte Atualizar um aplicativo existente para usar o CMK.

Se o aplicativo não existir, crie o aplicativo sem a CMK.

A ilustração a seguir mostra como a CMK é implementada no Amazon MSF.

Implementação de chaves gerenciadas pelo cliente no Amazon MSF.

  1. Chave gerenciada pelo cliente (CMK): compreende a política e o material chave.

  2. Administrador chave: o usuário ou a função do KeyAdmin IAM.

  3. Operador do ciclo de vida do aplicativo (chamador de API): o usuário ou função do IAM do operador.

  4. Aplicativo: tem uma função de execução (IAM) anexada.