Permisos para usar claves generadas por el usuario KMS - Amazon Kinesis Data Streams
Ejemplo de permisos para productoresEjemplo de permisos para consumidoresPermisos de administrador de flujos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos para usar claves generadas por el usuario KMS

Antes de poder utilizar el cifrado del lado del servidor con una KMS clave generada por el usuario, debe configurar políticas de AWS KMS claves que permitan el cifrado de las transmisiones y el cifrado y descifrado de los registros de las transmisiones. Para ver ejemplos y más información sobre AWS KMS los permisos, consulte AWS KMSAPIPermisos: referencia sobre acciones y recursos.

nota

El uso de la clave de servicio predeterminada para el cifrado no requiere la aplicación de IAM permisos personalizados.

Antes de utilizar las claves KMS maestras generadas por los usuarios, asegúrese de que los productores y consumidores IAM (directores) de Kinesis Streams sean usuarios de KMS la política de claves maestras. De lo contrario, las labores de escritura y lectura de una secuencia producirán un error, lo que, en definitiva, podría resultar en pérdida de datos, retrasos en el procesamiento, aplicaciones colgadas. Puede administrar los permisos de KMS las claves mediante políticas. IAM Para obtener más información, consulte Uso de IAM políticas con AWS KMS.

Ejemplo de permisos para productores

Sus productores de flujos de Kinesis deben tener el permiso kms:GenerateDataKey.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:PutRecord",
            "kinesis:PutRecords"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Ejemplo de permisos para consumidores

Sus consumidores de flujos de Kinesis deben tener el permiso kms:Decrypt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:GetRecords",
            "kinesis:DescribeStream"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Amazon Managed Service para Apache Flink y AWS Lambda utilice roles para consumir las transmisiones de Kinesis. Asegúrese de agregar el permiso kms:Decrypt a los roles que usen estos consumidores.

Permisos de administrador de flujos

Los administradores de flujos de Kinesis deben tener autorización para llamar a kms:List* y kms:DescribeKey*.