Autorisations d'utilisation des clés générées par l'utilisateur KMS - Amazon Kinesis Data Streams
Exemple d'autorisations pour les producteursExemples d'autorisations accordées aux consommateursAutorisations d'administrateur du stream

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations d'utilisation des clés générées par l'utilisateur KMS

Avant de pouvoir utiliser le chiffrement côté serveur avec une KMS clé générée par l'utilisateur, vous devez configurer des politiques AWS KMS clés pour autoriser le chiffrement des flux ainsi que le chiffrement et le déchiffrement des enregistrements des flux. Pour des exemples et plus d'informations sur AWS KMS les autorisations, voir AWS KMSAPIAutorisations : référence sur les actions et les ressources.

Note

L'utilisation de la clé de service par défaut pour le chiffrement ne nécessite pas l'application d'IAMautorisations personnalisées.

Avant d'utiliser des clés KMS principales générées par les utilisateurs, assurez-vous que les producteurs et les consommateurs de vos flux Kinesis IAM (principaux) sont des utilisateurs visés par KMS la politique des clés principales. Si ce n'est pas le cas, les écritures et les lectures à partir d'un flux échoueront, ce qui pourrait entraîner la perte de données, des retards de traitement ou la suspension d'applications. Vous pouvez gérer les autorisations relatives aux KMS clés à l'aide IAM de politiques. Pour plus d'informations, consultez la section Utilisation IAM de politiques avec AWS KMS.

Exemple d'autorisations pour les producteurs

Vos applications producteur de flux Kinesis doivent disposer de l'autorisation kms:GenerateDataKey.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:PutRecord",
            "kinesis:PutRecords"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Exemples d'autorisations accordées aux consommateurs

Vos consommateurs de flux Kinesis doivent disposer de l'autorisation kms:Decrypt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:GetRecords",
            "kinesis:DescribeStream"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Amazon Managed Service pour Apache Flink et AWS Lambda utilisez des rôles pour consommer des flux Kinesis. Assurez-vous d'ajouter l'autorisation kms:Decrypt aux rôles que ces consommateurs utilisent.

Autorisations d'administrateur du stream

Les administrateurs de flux Kinesis doivent être autorisés à appeler kms:List* et kms:DescribeKey*.