Teilen Sie den Zugriff mithilfe ressourcenbasierter Richtlinien - Amazon-Kinesis-Data-Streams
Teilen Sie den Zugriff mit kontoübergreifenden Funktionen AWS LambdaTeilen Sie den Zugriff mit kontoübergreifenden Verbrauchern KCLTeilen Sie den Zugriff auf verschlüsselte Daten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Teilen Sie den Zugriff mithilfe ressourcenbasierter Richtlinien

Anmerkung

Das Aktualisieren einer vorhandenen ressourcenbasierten Richtlinie bedeutet, dass die bestehende Richtlinie ersetzt wird. Stellen Sie daher sicher, dass Sie in Ihrer neuen Richtlinie alle erforderlichen Informationen angeben.

Teilen Sie den Zugriff mit kontoübergreifenden Funktionen AWS Lambda

Lambda-Operator

  1. Gehen Sie zur IAMKonsole, um eine IAM Rolle zu erstellen, die als Lambda-Ausführungsrolle für Ihre AWS Lambda Funktion verwendet wird. Fügen Sie die verwaltete IAM Richtlinie hinzuAWSLambdaKinesisExecutionRole, die über die erforderlichen Kinesis Data Streams- und Lambda-Aufrufberechtigungen verfügt. Diese Richtlinie gewährt auch Zugriff auf alle potenziellen Ressourcen von Kinesis Data Streams, auf die Sie möglicherweise Zugriff haben.

  2. Erstellen Sie in der AWS Lambda Konsole eine AWS Lambda Funktion zur Verarbeitung von Datensätzen in einem Kinesis Data Streams Streams-Datenstream und wählen Sie während der Einrichtung für die Ausführungsrolle die Rolle aus, die Sie im vorherigen Schritt erstellt haben.

  3. Stellen Sie dem Ressourcenbesitzer in Kinesis Data Streams die Ausführungsrolle zur Konfiguration der Ressourcenrichtlinie bereit.

  4. Schließen Sie die Einrichtung der Lambda-Funktion ab.

Besitzer der Ressource in Kinesis Data Streams

  1. Rufen Sie die kontoübergreifende Lambda-Ausführungsrolle ab, welche die Lambda-Funktion aufruft.

  2. Wählen Sie in der Konsole von Amazon Kinesis Data Streams den Datenstrom aus. Wählen Sie die Registerkarte Datenstrom-Freigabe und anschließend die Schaltfläche Freigaberichtlinie erstellen, um den visuellen Richtlinieneditor zu starten. Um einen registrierten Verbraucher innerhalb eines Datenstroms freizugeben, wählen Sie den Verbraucher aus und wählen Sie dann Freigaberichtlinie erstellen aus. Sie können die JSON Richtlinie auch direkt schreiben.

  3. Geben Sie die kontoübergreifende Lambda-Ausführungsrolle als Prinzipal und die genauen Aktionen von Kinesis Data Streams an, auf die Sie Zugriff gewähren. Stellen Sie sicher, dass Sie die Aktion kinesis:DescribeStream einbeziehen. Weitere Informationen über beispielhafte Ressourcenrichtlinien für Kinesis Data Streams finden Sie unter Beispiel für ressourcenbasierte Richtlinien für Kinesis-Datenstreams.

  4. Wählen Sie Richtlinie erstellen oder verwenden Sie die PutResourcePolicy, um die Richtlinie an Ihre Ressource anzuhängen.

Teilen Sie den Zugriff mit kontoübergreifenden Verbrauchern KCL

  • Wenn Sie KCL 1.x verwenden, stellen Sie sicher, dass Sie KCL 1.15.0 oder höher verwenden.

  • Wenn Sie KCL 2.x verwenden, stellen Sie sicher, dass Sie 2.5.3 oder höher verwendenKCL.

KCL-Operator

  1. Geben Sie dem Eigentümer der Ressource Ihren IAM Benutzer oder Ihre IAM Rolle, die die KCL Anwendung ausführen wird, an.

  2. Fragen Sie den Besitzer der Ressource nach dem Datenstream oder dem DatenverbraucherARN.

  3. Stellen Sie sicher, dass Sie den bereitgestellten Stream ARN als Teil Ihrer KCL Konfiguration angeben.

    • Für KCL 1.x: Verwenden Sie den KinesisClientLibConfigurationKonstruktor und stellen Sie den Stream bereit. ARN

    • Für KCL 2.x: Sie können nur den Stream ARN oder StreamTrackerdie Kinesis Client Library bereitstellen. ConfigsBuilder Geben Sie für StreamTracker den Stream ARN und die Erstellungsepoche aus der DynamoDB-Leasetabelle an, die von der Bibliothek generiert wird. Wenn Sie von einem gemeinsamen registrierten Benutzer lesen möchten, z. B. Enhanced Fan-Out, verwenden Sie den Benutzer StreamTracker und geben Sie ihn auch an. ARN

Besitzer der Ressource in Kinesis Data Streams

  1. Ermitteln Sie den kontoübergreifenden IAM Benutzer oder die IAM Rolle, die die Anwendung ausführen soll. KCL

  2. Wählen Sie in der Konsole von Amazon Kinesis Data Streams den Datenstrom aus. Wählen Sie die Registerkarte Datenstrom-Freigabe und anschließend die Schaltfläche Freigaberichtlinie erstellen, um den visuellen Richtlinieneditor zu starten. Um einen registrierten Verbraucher innerhalb eines Datenstroms freizugeben, wählen Sie den Verbraucher aus und wählen Sie dann Freigaberichtlinie erstellen aus. Sie können die JSON Richtlinie auch direkt schreiben.

  3. Geben Sie den IAM Benutzer oder die IAM Rolle der kontoübergreifenden KCL Anwendung als Principal und die genauen Kinesis Data Streams Streams-Aktionen an, auf die Sie den Zugriff teilen. Weitere Informationen über beispielhafte Ressourcenrichtlinien für Kinesis Data Streams finden Sie unter Beispiel für ressourcenbasierte Richtlinien für Kinesis-Datenstreams.

  4. Wählen Sie Richtlinie erstellen oder verwenden Sie die PutResourcePolicy, um die Richtlinie an Ihre Ressource anzuhängen.

Teilen Sie den Zugriff auf verschlüsselte Daten

Wenn Sie die serverseitige Verschlüsselung für einen Datenstrom mit AWS verwaltetem KMS Schlüssel aktiviert haben und den Zugriff über eine Ressourcenrichtlinie gemeinsam nutzen möchten, müssen Sie zur Verwendung des vom Kunden verwalteten Schlüssels () CMK wechseln. Weitere Informationen finden Sie unter Was ist serverseitige Verschlüsselung für Kinesis Data Streams?. Darüber hinaus müssen Sie den für die gemeinsame Nutzung verantwortlichen Entitäten den Zugriff auf Ihre Daten gewähren und dabei Funktionen CMK zur KMS kontenübergreifenden Nutzung nutzen. Stellen Sie sicher, dass Sie die Änderungen auch in den IAM Richtlinien für die gemeinsam genutzten Haupteinheiten vornehmen. Weitere Informationen finden Sie unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels gestatten.