Berechtigungen zur Verwendung von benutzergenerierten Schlüsseln KMS - Amazon-Kinesis-Data-Streams
Beispiel für HerstellerberechtigungenBeispiel für VerbraucherberechtigungenStream-Administratorberechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen zur Verwendung von benutzergenerierten Schlüsseln KMS

Bevor Sie die serverseitige Verschlüsselung mit einem benutzergenerierten KMS Schlüssel verwenden können, müssen Sie AWS KMS Schlüsselrichtlinien konfigurieren, um die Verschlüsselung von Streams sowie die Verschlüsselung und Entschlüsselung von Stream-Datensätzen zu ermöglichen. Beispiele und weitere Informationen zu AWS KMS Berechtigungen finden Sie unter AWS KMSAPIPermissions: Actions and Resources Reference.

Anmerkung

Für die Nutzung des Standard-Serviceschlüssels für die Verschlüsselung sind keine benutzerdefinierten IAM-Berechtigungen erforderlich.

Bevor Sie benutzergenerierte KMS Masterschlüssel verwenden, stellen Sie sicher, dass Ihre Kinesis-Stream-Produzenten und -Verbraucher (IAMPrincipals) Benutzer in der KMS Master-Key-Richtlinie sind. Andernfalls schlägt das Schreiben in und das Lesen aus dem Stream fehl. Dies kann zu einem Datenverlust, einer verspäteten Verarbeitung oder abgestürzten Anwendungen führen. Sie können die Berechtigungen für KMS-Schlüssel mithilfe von IAM-Richtlinien verwalten. Weitere Informationen finden Sie unter Richtlinien verwenden mit IAM. AWS KMS

Beispiel für Herstellerberechtigungen

Die Kinesis-Stream-Produzenten benötigen die Berechtigung kms:GenerateDataKey.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:PutRecord",
            "kinesis:PutRecords"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Beispiel für Verbraucherberechtigungen

Ihre Kinesis-Stream-Konsumenten benötigen die Berechtigung kms:Decrypt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:GetRecords",
            "kinesis:DescribeStream"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Amazon Managed Service für Apache Flink und AWS Lambda verwenden Sie Rollen, um Kinesis-Streams zu nutzen. Stellen Sie sicher, dass Sie die kms:Decrypt-Berechtigung für die Rollen erteilen, die diese Konsumenten innehaben.

Stream-Administratorberechtigungen

Kinesis-Stream-Administratoren benötigen eine Autorisierung für den Aufruf von kms:List* und kms:DescribeKey*.