Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usa il segreto
Ti consigliamo di utilizzarla AWS Secrets Manager per archiviare le credenziali o le chiavi per connetterti a destinazioni di streaming come Amazon RedshiftHTTP, endpoint, Snowflake, Splunk, Coralogix, Datadog, Dynatrace, Elastic, Honeycomb, Logz.io, MongoDB Cloud e New Relic. LogicMonitor
È possibile configurare l'autenticazione con Secrets Manager per queste destinazioni tramite la console di AWS gestione al momento della creazione dello stream Firehose. Per ulteriori informazioni, consulta Configurare le impostazioni di destinazione. In alternativa, puoi anche utilizzare le UpdateDestinationAPIoperazioni CreateDeliveryStreamand per configurare l'autenticazione con Secrets Manager.
Firehose memorizza nella cache i segreti con una crittografia e li utilizza per ogni connessione alle destinazioni. Aggiorna la cache ogni 10 minuti per garantire che vengano utilizzate le credenziali più recenti.
Puoi scegliere di disattivare la funzionalità di recupero dei segreti da Secrets Manager in qualsiasi momento durante il ciclo di vita dello stream. Se non desideri utilizzare Secrets Manager per recuperare i segreti, puoi invece utilizzare il nome utente/la password o la chiave. API
Nota
Sebbene questa funzionalità di Firehose non preveda costi aggiuntivi, l'accesso e la manutenzione di Secrets Manager sono a pagamento. Per ulteriori informazioni, consulta la pagina AWS Secrets Manager
Concedi l'accesso a Firehose per recuperare il segreto
Affinché Firehose possa recuperare un segreto AWS Secrets Manager, è necessario fornire a Firehose le autorizzazioni necessarie per accedere al segreto e la chiave che crittografa il segreto.
Quando si utilizza AWS Secrets Manager per archiviare e recuperare i segreti, sono disponibili diverse opzioni di configurazione a seconda di dove è archiviato il segreto e di come è crittografato.
-
Se il segreto è archiviato nello stesso AWS account del IAM ruolo ed è crittografato con la chiave AWS gestita predefinita (
aws/secretsmanager), il IAM ruolo assunto da Firehose necessita solo dell'secretsmanager:GetSecretValueautorizzazione sul segreto.// secret role policy { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "Secret ARN" } ] }Per ulteriori informazioni sulle IAM politiche, consulta Esempi di policy di autorizzazione per. AWS Secrets Manager
Se il segreto è archiviato nello stesso account del ruolo ma crittografato con una chiave gestita dal cliente (CMK), il ruolo necessita sia delle autorizzazioni che delle
secretsmanager:GetSecretValuekms:Decryptautorizzazioni. La CMK policy deve inoltre consentire al IAM ruolo di funzionarekms:Decrypt.{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "Secret ARN" }, { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "KMSKeyARN" } ] }Se il segreto è archiviato in un AWS account diverso dal tuo ruolo ed è crittografato con la chiave AWS gestita predefinita, questa configurazione non è possibile in quanto Secrets Manager non consente l'accesso tra account quando il segreto è crittografato con una chiave AWS gestita.
-
Se il segreto è archiviato in un account diverso e crittografato con unCMK, il IAM ruolo richiede l'
secretsmanager:GetSecretValueautorizzazione sul segreto e l'kms:DecryptCMKautorizzazione su. La politica delle risorse del segreto e la CMK politica dell'altro account devono inoltre consentire al IAM ruolo le autorizzazioni necessarie. Per ulteriori informazioni, consulta Accesso tra account.
