Berbagi akses menggunakan kebijakan berbasis sumber daya - Amazon Kinesis Data Streams
Bagikan akses dengan fungsi lintas akun AWS LambdaBerbagi akses dengan konsumen KCL lintas akunBagikan akses ke data terenkripsi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berbagi akses menggunakan kebijakan berbasis sumber daya

catatan

Memperbarui kebijakan berbasis sumber daya yang ada berarti mengganti yang sudah ada, jadi pastikan untuk memasukkan semua informasi yang diperlukan dalam kebijakan baru Anda.

Bagikan akses dengan fungsi lintas akun AWS Lambda

Operator Lambda

  1. Buka konsol IAM untuk membuat peran IAM yang akan digunakan sebagai peran eksekusi Lambda untuk fungsi Anda. AWS Lambda Tambahkan kebijakan IAM terkelola AWSLambdaKinesisExecutionRole yang memiliki Kinesis Data Streams dan izin pemanggilan Lambda yang diperlukan. Kebijakan ini juga memberikan akses ke semua sumber daya Kinesis Data Streams potensial yang mungkin dapat Anda akses.

  2. Di AWS Lambda konsol, buat AWS Lambda fungsi untuk memproses rekaman dalam aliran data Kinesis Data Streams dan selama penyiapan untuk peran eksekusi, pilih peran yang Anda buat di langkah sebelumnya.

  3. Berikan peran eksekusi kepada pemilik sumber daya Kinesis Data Streams untuk mengonfigurasi kebijakan sumber daya.

  4. Selesai mengatur fungsi Lambda.

Pemilik sumber daya Kinesis Data Streams

  1. Dapatkan peran eksekusi Lambda lintas akun yang akan memanggil fungsi Lambda.

  2. Di konsol Amazon Kinesis Data Streams, pilih aliran data. Pilih tab Berbagi aliran data dan kemudian tombol Buat kebijakan berbagi untuk memulai editor kebijakan visual. Untuk berbagi konsumen terdaftar dalam aliran data, pilih konsumen, lalu pilih Buat kebijakan berbagi. Anda juga dapat menulis kebijakan JSON secara langsung.

  3. Tentukan peran eksekusi Lambda lintas akun sebagai tindakan utama dan Kinesis Data Streams yang tepat yang Anda bagikan aksesnya. Pastikan untuk menyertakan tindakankinesis:DescribeStream. Untuk informasi selengkapnya tentang contoh kebijakan sumber daya untuk Kinesis Data Contoh kebijakan berbasis sumber daya untuk aliran data Kinesis Streams, lihat.

  4. Pilih Buat kebijakan atau gunakan PutResourcePolicyuntuk melampirkan kebijakan ke sumber daya Anda.

Berbagi akses dengan konsumen KCL lintas akun

  • Jika Anda menggunakan KCL 1.x, pastikan Anda menggunakan KCL 1.15.0 atau lebih tinggi.

  • Jika Anda menggunakan KCL 2.x, pastikan Anda menggunakan KCL 2.5.3 atau lebih tinggi.

Operator KCL

  1. Berikan peran pengguna IAM atau IAM Anda yang akan menjalankan aplikasi KCL ke pemilik sumber daya.

  2. Mintalah pemilik sumber daya untuk aliran data atau ARN konsumen.

  3. Pastikan Anda menentukan ARN aliran yang disediakan sebagai bagian dari konfigurasi KCL Anda.

    • Untuk KCL 1.x: gunakan KinesisClientLibConfigurationkonstruktor dan berikan arus ARN.

    • Untuk KCL 2.x: Anda dapat menyediakan ARN streaming saja atau ke Perpustakaan Klien StreamTrackerKinesis. ConfigsBuilder Untuk StreamTracker, sediakan aliran ARN dan Epoch pembuatan dari DynamoDB Lease Table yang dihasilkan oleh perpustakaan. Jika Anda ingin membaca dari konsumen terdaftar bersama seperti Enhanced Fan-Out, gunakan StreamTracker dan juga berikan ARN kepada konsumen.

Pemilik sumber daya Kinesis Data Streams

  1. Dapatkan peran pengguna IAM lintas akun atau IAM yang akan menjalankan aplikasi KCL.

  2. Di konsol Amazon Kinesis Data Streams, pilih aliran data. Pilih tab Berbagi aliran data dan kemudian tombol Buat kebijakan berbagi untuk memulai editor kebijakan visual. Untuk berbagi konsumen terdaftar dalam aliran data, pilih konsumen, lalu pilih Buat kebijakan berbagi. Anda juga dapat menulis kebijakan JSON secara langsung.

  3. Tentukan peran IAM atau IAM aplikasi KCL lintas akun sebagai tindakan utama dan tindakan Kinesis Data Streams yang tepat yang Anda bagikan aksesnya. Untuk informasi selengkapnya tentang contoh kebijakan sumber daya untuk Kinesis Data Contoh kebijakan berbasis sumber daya untuk aliran data Kinesis Streams, lihat.

  4. Pilih Buat kebijakan atau gunakan PutResourcePolicyuntuk melampirkan kebijakan ke sumber daya Anda.

Bagikan akses ke data terenkripsi

Jika Anda telah mengaktifkan enkripsi sisi server untuk aliran data dengan kunci KMS AWS terkelola dan ingin berbagi akses melalui kebijakan sumber daya, Anda harus beralih menggunakan kunci yang dikelola pelanggan (CMK). Untuk informasi selengkapnya, lihat Apa itu enkripsi sisi server untuk Kinesis Data Streams?. Selain itu, Anda harus mengizinkan entitas utama berbagi Anda untuk memiliki akses ke CMK Anda, menggunakan kemampuan berbagi lintas akun KMS. Pastikan juga untuk membuat perubahan dalam kebijakan IAM untuk entitas utama berbagi. Untuk informasi selengkapnya, lihat Mengizinkan pengguna di akun lain untuk menggunakan kunci KMS.