Partagez l'accès à l'aide de politiques basées sur les ressources - Amazon Kinesis Data Streams
Partage de l'accès grâce à des fonctions multi-comptes AWS LambdaPartagez l'accès avec les clients ayant plusieurs comptes KCLPartage de l'accès aux données chiffrées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partagez l'accès à l'aide de politiques basées sur les ressources

Note

La mise à jour d'une politique existante basée sur les ressources implique le remplacement de la politique existante. Assurez-vous donc d'inclure toutes les informations nécessaires dans votre nouvelle politique.

Partage de l'accès grâce à des fonctions multi-comptes AWS Lambda

Opérateur Lambda

  1. Accédez à la IAMconsole pour créer un IAM rôle qui sera utilisé comme rôle d'exécution Lambda pour votre AWS Lambda fonction. Ajoutez la IAM politique gérée AWSLambdaKinesisExecutionRole qui dispose des autorisations d'invocation Kinesis Data Streams et Lambda requises. Cette politique accorde également l'accès à toutes les ressources Kinesis Data Streams auxquelles vous pourriez avoir accès.

  2. Dans la AWS Lambda console, créez une AWS Lambda fonction pour traiter les enregistrements d'un flux de données Kinesis Data Streams et, lors de la configuration du rôle d'exécution, choisissez le rôle que vous avez créé à l'étape précédente.

  3. Fournissez le rôle d'exécution au propriétaire de la ressource Kinesis Data Streams pour configurer la politique de ressources.

  4. Terminez la configuration de la fonction Lambda.

Propriétaire de la ressource Kinesis Data Streams

  1. Obtenez le rôle d'exécution Lambda entre comptes qui appellera la fonction Lambda.

  2. Sur la console Amazon Kinesis Data Streams, choisissez le flux de données. Choisissez l'onglet Partage de flux de données, puis le bouton Créer une politique de partage pour démarrer l'éditeur visuel de politique. Pour partager un consommateur enregistré dans un flux de données, choisissez le consommateur, puis choisissez Créer une politique de partage. Vous pouvez également rédiger la JSON politique directement.

  3. Spécifiez le rôle d'exécution Lambda entre comptes comme principal et les actions Kinesis Data Streams exactes auxquelles vous partagez l'accès. Veillez à inclure l'action kinesis:DescribeStream. Pour plus d'informations sur les exemples de politiques de ressources pour Kinesis Data Streams, consultez Exemples de politiques basées sur les ressources pour les flux de données Kinesis.

  4. Choisissez Créer une politique ou utilisez le PutResourcePolicypour associer la politique à votre ressource.

Partagez l'accès avec les clients ayant plusieurs comptes KCL

  • Si vous utilisez la version KCL 1.x, assurez-vous d'utiliser la version KCL 1.15.0 ou une version ultérieure.

  • Si vous utilisez la version KCL 2.x, assurez-vous d'utiliser la version KCL 2.5.3 ou supérieure.

Opérateur KCL

  1. Indiquez IAM l'utilisateur ou IAM le rôle qui exécutera l'KCLapplication au propriétaire de la ressource.

  2. Demandez au propriétaire de la ressource le flux de données ou le consommateurARN.

  3. Assurez-vous de spécifier le flux fourni ARN dans le cadre de votre KCL configuration.

    • Pour KCL 1.x : utilisez le KinesisClientLibConfigurationconstructeur et fournissez le flux. ARN

    • Pour la KCL version 2.x : vous pouvez uniquement fournir le flux ARN ou la StreamTrackerbibliothèque cliente Kinesis. ConfigsBuilder Pour StreamTracker, fournissez le flux ARN et l'époque de création à partir de la table de location DynamoDB générée par la bibliothèque. Si vous souhaitez lire un article d'un consommateur enregistré partagé, comme Enhanced Fan-Out, utilisez StreamTracker et fournissez également le consommateur. ARN

Propriétaire de la ressource Kinesis Data Streams

  1. Choisissez l'IAMutilisateur ou le IAM rôle multi-comptes qui exécutera l'KCLapplication.

  2. Sur la console Amazon Kinesis Data Streams, choisissez le flux de données. Choisissez l'onglet Partage de flux de données, puis le bouton Créer une politique de partage pour démarrer l'éditeur visuel de politique. Pour partager un consommateur enregistré dans un flux de données, choisissez le consommateur, puis choisissez Créer une politique de partage. Vous pouvez également rédiger la JSON politique directement.

  3. Spécifiez l'IAMutilisateur ou le IAM rôle de l'KCLapplication multicompte en tant que principal et les actions Kinesis Data Streams exactes auxquelles vous partagez l'accès. Pour plus d'informations sur les exemples de politiques de ressources pour Kinesis Data Streams, consultez Exemples de politiques basées sur les ressources pour les flux de données Kinesis.

  4. Choisissez Créer une politique ou utilisez le PutResourcePolicypour associer la politique à votre ressource.

Partage de l'accès aux données chiffrées

Si vous avez activé le chiffrement côté serveur pour un flux de données avec KMS clé AWS gérée et que vous souhaitez partager l'accès via une politique de ressources, vous devez passer à l'utilisation de la clé gérée par le client (). CMK Pour de plus amples informations, veuillez consulter Qu'est-ce que le chiffrement côté serveur pour Kinesis Data Streams ?. En outre, vous devez autoriser vos entités principales de partage à accéder à votre compteCMK, en utilisant KMS les fonctionnalités de partage entre comptes. Assurez-vous de modifier également les IAM politiques relatives au partage des entités principales. Pour plus d'informations, voir Autoriser les utilisateurs d'autres comptes à utiliser une KMS clé.