Compartilhamento de acesso usando políticas baseadas em recursos - Amazon Kinesis Data Streams
Compartilhamento de acesso com funções do AWS Lambda entre contasCompartilhamento de acesso com consumidores de várias contas da KCLCompartilhamento de acesso a dados criptografados

Compartilhamento de acesso usando políticas baseadas em recursos

nota

Atualizar uma política existente baseada em recursos significa substituir a atual, portanto, certifique-se de incluir todas as informações necessárias em sua nova política.

Compartilhamento de acesso com funções do AWS Lambda entre contas

Operador do Lambda

  1. Acesse o console do IAM para criar um perfil do IAM que será usada como perfil de execução do Lambda para sua função do AWS Lambda. Inclua a política do IAM gerenciada AWSLambdaKinesisExecutionRole que tem as permissões de invocação necessárias do Kinesis Data Streams e do Lambda. Essa política também concede acesso a todos os possíveis recursos do Kinesis Data Streams aos quais você possa ter acesso.

  2. No console do AWS Lambda, crie uma função do AWS Lambda para processar registros em um fluxo de dados do Kinesis Data Streams e, durante a configuração do perfil de execução, escolha o perfil que você criou na etapa anterior.

  3. Forneça o perfil de execução ao proprietário do recurso do Kinesis Data Streams para configurar a política de recursos.

  4. Conclua a configuração da função do Lambda.

Proprietário do recurso do Kinesis Data Streams

  1. Obtenha o perfil de execução entre contas do Lambda que invocará a função do Lambda.

  2. No console do Amazon Kinesis Data Streams, escolha o fluxo de dados. Escolha a guia Compartilhamento de fluxo de dados e clique no botão Criar política de compartilhamento para iniciar o editor visual de políticas. Para compartilhar um consumidor registrado em um fluxo de dados, escolha o consumidor e, em seguida, escolha Criar política de compartilhamento. Também é possível escrever a política JSON diretamente.

  3. Especifique o perfil de execução entre contas do Lambda como a entidade principal e as ações exatas do Kinesis Data Streams com as quais o acesso seja compartilhado. Certifique-se de incluir a ação kinesis:DescribeStream. Para obter mais informações sobre exemplos de políticas de recursos do Kinesis Data Streams, consulte Exemplo de políticas baseadas em recursos para fluxo de dados do Kinesis.

  4. Escolha Criar política ou use PutResourcePolicy para anexar a política ao recurso.

Compartilhamento de acesso com consumidores de várias contas da KCL

  • Se estiver usando a KCL 1.x, verifique se é a versão KCL 1.15.0 ou superior.

  • Se estiver usando a KCL 2.x, verifique se é a versão KCL 2.5.3 ou superior.

Operador da KCL

  1. Forneça ao proprietário do recurso seu usuário do IAM ou o perfil do IAM que executará aplicação KCL.

  2. Peça ao proprietário do recurso o fluxo de dados ou o ARN do consumidor.

  3. Certifique-se de especificar o ARN do fluxo fornecido como parte da configuração da KCL.

    • Para a KCL 1.x: use o construtor KinesisClientLibConfiguration e forneça o ARN do fluxo.

    • Para a KCL 2.x: basta fornecer apenas o ARN do fluxo ou o StreamTracker para o ConfigsBuilder da Kinesis Client Library. Para o StreamTracker, forneça o ARN do fluxo e o Epoch de criação da tabela de lease do DynamoDB gerada pela biblioteca. Para quiser ler de um consumidor registrado compartilhado, como o Enhanced Fan-Out, use o StreamTracker e forneça o ARN do consumidor.

Proprietário do recurso do Kinesis Data Streams

  1. Obtenha o usuário do IAM ou o perfil do IAM de várias contas que executará a aplicação KCL.

  2. No console do Amazon Kinesis Data Streams, escolha o fluxo de dados. Escolha a guia Compartilhamento de fluxo de dados e clique no botão Criar política de compartilhamento para iniciar o editor visual de políticas. Para compartilhar um consumidor registrado em um fluxo de dados, escolha o consumidor e, em seguida, escolha Criar política de compartilhamento. Você também pode escrever a política JSON diretamente.

  3. Especifique o usuário do IAM ou o perfil do IAM da aplicação KCL de várias contas como entidade principal e as ações exatas do Kinesis Data Streams às quais o acesso seja compartilhado. Para obter mais informações sobre exemplos de políticas de recursos do Kinesis Data Streams, consulte Exemplo de políticas baseadas em recursos para fluxo de dados do Kinesis.

  4. Escolha Criar política ou use PutResourcePolicy para anexar a política ao recurso.

Compartilhamento de acesso a dados criptografados

Se for habilitada a criptografia no lado do servidor para um fluxo de dados com a chave gerenciada do KMS da AWS e for necessário compartilhar o acesso por meio de uma política de recursos, deve-se passar a usar a chave gerenciada pelo cliente (CMK). Para obter mais informações, consulte O que é criptografia no lado do servidor para o Kinesis Data Streams?. Além disso, deve-se permitir que as entidades principais de compartilhamento tenham acesso à sua CMK, usando os recursos de compartilhamento entre contas do KMS. Certifique-se também de fazer a alteração nas políticas do IAM para as entidades principais de compartilhamento. Para ter mais informações, consulte o tópico sobre como Permitir que usuários de outras contas utilizem uma chave do KMS.