La diffusion de flux Amazon Data Firehose vers les tables Apache Iceberg dans Amazon S3 est en version préliminaire et peut faire l'objet de modifications.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisez le secret
Nous vous recommandons d'utiliser AWS Secrets Manager pour stocker vos informations d'identification ou vos clés afin de vous connecter à des destinations de streaming telles qu'Amazon Redshift, HTTP Endpoint, Snowflake, Splunk, Coralogix, Datadog, Dynatrace, Elastic, Honeycomb, Logz.io, MongoDB Cloud et New Relic. LogicMonitor
Vous pouvez configurer l'authentification avec Secrets Manager pour ces destinations via le AWS Console de gestion au moment de la création du stream Firehose. Pour de plus amples informations, veuillez consulter Configuration des paramètres de destination. Vous pouvez également utiliser les UpdateDestinationAPIopérations CreateDeliveryStreamet pour configurer l'authentification avec Secrets Manager.
Firehose met en cache les secrets avec un cryptage et les utilise pour chaque connexion aux destinations. Il actualise le cache toutes les 10 minutes pour s'assurer que les dernières informations d'identification sont utilisées.
Vous pouvez choisir de désactiver la fonctionnalité de récupération des secrets depuis Secrets Manager à tout moment pendant le cycle de vie du flux. Si vous ne souhaitez pas utiliser Secrets Manager pour récupérer des secrets, vous pouvez utiliser le nom d'utilisateur/mot de passe ou API la clé à la place.
Note
Bien que cette fonctionnalité soit gratuite dans Firehose, l'accès et la maintenance de Secrets Manager vous sont facturés. Pour plus d’informations, consultez .AWS Secrets Manager
Accordez l'accès à Firehose pour récupérer le secret
Pour que Firehose puisse récupérer un secret auprès de AWS Secrets Manager, vous devez fournir à Firehose les autorisations requises pour accéder au secret et à la clé qui le chiffre.
Lors de l'utilisation AWS Secrets Manager pour stocker et récupérer des secrets, il existe différentes options de configuration en fonction de l'endroit où le secret est stocké et de la manière dont il est crypté.
-
Si le secret est stocké dans le même AWS compte comme votre IAM rôle et il est crypté avec la valeur par défaut AWS managed key (
aws/secretsmanager), le IAM rôle assumé par Firehose nécessite uniquement unesecretsmanager:GetSecretValueautorisation sur le secret.// secret role policy { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "Secret ARN" } ] }Pour plus d'informations sur IAM les politiques, consultez les exemples de politiques d'autorisation pour AWS Secrets Manager.
Si le secret est stocké dans le même compte que le rôle mais chiffré à l'aide d'une clé gérée par le client (CMK), le rôle a besoin à la fois d'
kms:Decryptautorisationssecretsmanager:GetSecretValueet d'autorisations. La CMK politique doit également permettre au IAM rôle de fonctionnerkms:Decrypt.{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "Secret ARN" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "KMSKeyARN" } ] }Si le secret est stocké dans un autre AWS compte plutôt que votre rôle, et il est crypté avec la valeur par défaut AWS clé gérée, cette configuration n'est pas possible car Secrets Manager n'autorise pas l'accès entre comptes lorsque le secret est chiffré avec AWS clé gérée.
-
Si le secret est stocké dans un autre compte et crypté avec unCMK, le IAM rôle a besoin d'une
secretsmanager:GetSecretValueautorisation sur le secret et d'unekms:Decryptautorisation sur leCMK. La politique de ressources du secret et CMK celle de l'autre compte doivent également accorder au IAM rôle les autorisations nécessaires. Pour plus d'informations, consultez la section Accès entre comptes.
