Controllo dell'accesso alle risorse Amazon Kinesis Data Streams tramite IAM - Flusso di dati Amazon Kinesis
Sintassi delle policyOperazioni per il flusso di dati KinesisNomi di risorse Amazon (ARNs) per Kinesis Data StreamsCriteri di esempio per Kinesis Data StreamsCondividi il tuo flusso di dati con un altro accountConfigurare una AWS Lambda funzione per la lettura da Kinesis Data Streams in un altro account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso alle risorse Amazon Kinesis Data Streams tramite IAM

AWS Identity and Access Management (IAM) ti consente di fare quanto segue:

  • Crea utenti e gruppi con il tuo AWS account

  • Assegna credenziali di sicurezza uniche a ciascun utente del tuo account AWS

  • Controlla le autorizzazioni di ogni utente per eseguire attività utilizzando le risorse AWS

  • Consenti agli utenti di un altro AWS account di condividere le tue risorse AWS

  • Crea ruoli per il tuo AWS account e definisci gli utenti o i servizi che possono assumerli

  • Utilizza le identità esistenti per la tua azienda per concedere le autorizzazioni per eseguire attività utilizzando le risorse AWS

Utilizzando IAM con il flusso di dati Kinesis, puoi controllare se gli utenti all'interno dell'organizzazione sono in grado di eseguire un'attività utilizzando specifiche operazioni API del flusso di dati Kinesis e se possono utilizzare risorse AWS specifiche.

Se stai sviluppando un'applicazione utilizzando la Kinesis Client Library (KCL), la tua policy deve includere le autorizzazioni per Amazon DynamoDB e Amazon CloudWatch; KCL utilizza DynamoDB per tenere traccia delle informazioni sullo stato dell'applicazione e per inviare i parametri KCL a tuo nome. CloudWatch CloudWatch Per ulteriori informazioni sull'KCL, consulta Sviluppa i consumatori di KCL 1.x.

Per ulteriori informazioni su IAM, consulta:

Per ulteriori informazioni sulla gestione dell'accesso ad Amazon DynamoDB, consulta Utilizzo di IAM per il controllo degli accessi alle risorse Amazon DynamoDB nella Guida per gli sviluppatori di Amazon DynamoDB.

Per ulteriori informazioni su IAM e Amazon CloudWatch, consulta Controlling User Access to Your AWS Account nella Amazon CloudWatch User Guide.

Indice

Sintassi delle policy

Una policy IAM è un documento JSON costituito da una o più dichiarazioni. Ogni dichiarazione è strutturata come segue:

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

Una dichiarazione è costituita da diversi elementi:

  • Effect (Effetto): l'elemento effect può essere Allow o Deny. Per impostazione predefinita, gli utenti IAM non dispongono dell'autorizzazione per l'utilizzo di risorse e operazioni API, pertanto tutte le richieste vengono rifiutate. Un permesso esplicito sostituisce l'impostazione predefinita. Un rifiuto esplicito sovrascrive tutti i consensi.

  • Action (Operazione): l'elemento action corrisponde all'operazione API specifica per la quale si concede o si nega l'autorizzazione.

  • Resource (Risorsa): la risorsa che viene modificata dall'operazione. Per specificare una risorsa nella dichiarazione, devi utilizzare il relativo Amazon Resource Name (ARN).

  • Condition: le condizioni sono facoltative. Possono essere utilizzate per controllare quando sarà in vigore una policy.

Quando crei e gestisci policy &IAM;, puoi utilizzare gli strumenti Generatore di policy IAM e Simulatore di policy IAM.

Operazioni per il flusso di dati Kinesis

In una dichiarazione di policy IAM, è possibile specificare qualsiasi operazione API per qualsiasi servizio che supporta IAM. Per il flusso di dati Kinesis, utilizza il seguente prefisso con il nome dell'operazione API: kinesis:. For example: kinesis:CreateStream, kinesis:ListStreams e kinesis:DescribeStreamSummary.

Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

"Action": ["kinesis:action1", "kinesis:action2"]

Puoi anche specificare più operazioni tramite caratteri jolly. Ad esempio, puoi specificare tutte le operazioni il cui nome inizia con la parola "Get" come segue:

"Action": "kinesis:Get*"

Per specificare tutte le operazioni del flusso di dati Kinesis, utilizza il carattere jolly (*) come mostrato di seguito:

"Action": "kinesis:*"

Per l'elenco completo delle operazioni API del flusso di dati Kinesis, consulta la Documentazione di riferimento delle API di Amazon Kinesis.

Nomi di risorse Amazon (ARNs) per Kinesis Data Streams

Ogni dichiarazione di policy IAM si applica alle risorse specificate utilizzando le loro. ARNs

Usa il seguente formato di risorsa ARN per il flusso di dati Kinesis:

arn:aws:kinesis:region:account-id:stream/stream-name

Per esempio:

"Resource": arn:aws:kinesis:*:111122223333:stream/my-stream

Criteri di esempio per Kinesis Data Streams

Le policy di esempio seguenti dimostrano in che modo puoi controllare l'accesso degli utenti al flusso di dati Kinesis.

Example 1: Allow users to get data from a stream

Questa policy consente a un utente o a un gruppo di eseguire le operazioni DescribeStreamSummary, GetShardIterator e GetRecords nel flusso specificato e ListStreams su qualsiasi flusso. Questa policy può essere applicata a utenti che devono essere in grado di ottenere dati da un determinato flusso. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kinesis:Get*",
                "kinesis:DescribeStreamSummary"
            ],
            "Resource": [
                "arn:aws:kinesis:us-east-1:111122223333:stream/stream1"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kinesis:ListStreams"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
Example 2: Allow users to add data to any stream in the account

Questa policy consente a un utente o un gruppo di utilizzare l'operazione PutRecord con uno qualsiasi dei flussi dell'account. Questa policy potrebbe essere applicata agli utenti che devono essere in grado di aggiungere record di dati a tutti i flussi in un account.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord"
            ],
            "Resource": [
                "arn:aws:kinesis:us-east-1:111122223333:stream/*"
            ]
        }
    ]
}
Example 3: Allow any Kinesis Data Streams action on a specific stream

Questa policy consente a un utente o a un gruppo di utilizzare qualsiasi operazione del flusso di dati Kinesis sul flusso specificato. Questa policy potrebbe essere applicata agli utenti che devono avere il controllo amministrativo su un determinato flusso.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kinesis:*",
            "Resource": [
                "arn:aws:kinesis:us-east-1:111122223333:stream/stream1"
            ]
        }
    ]
}
Example 4: Allow any Kinesis Data Streams action on any stream

Questa policy consente a un utente o a un gruppo di utilizzare qualsiasi operazione del flusso di dati Kinesis su qualsiasi flusso in un account. Poiché questa policy concede l'accesso completo a tutti i flussi, devi limitarla ai soli amministratori.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kinesis:*",
            "Resource": [
                "arn:aws:kinesis:*:111122223333:stream/*"
            ]
        }
    ]
}

Condividi il tuo flusso di dati con un altro account

Nota

La Kinesis Producer Library attualmente non supporta la specificazione di un ARN di flusso durante la scrittura su un flusso di dati. Utilizza l' AWS SDK se desideri scrivere su un flusso di dati tra account.

Collega una policy basata sulle risorse al tuo flusso di dati per garantire l'accesso a un altro account, utente o ruolo IAM. Le policy basate sulle risorse sono documenti di policy JSON che colleghi a una risorsa come un flusso di dati. Queste policy concedono all'entità principale specificata l'autorizzazione per eseguire operazioni specifiche sulla risorsa e definiscono le condizioni in cui ciò si applica. Una policy può avere più dichiarazioni. È necessario specificare un principale in una policy basata sulle risorse. I principali possono includere account, utenti, ruoli, utenti federati o servizi. AWS È possibile configurare le policy nella console, nell'API o nell'SDK di Kinesis Data Streams.

Ricorda che la condivisione dell'accesso ai consumatori registrati come Fan-out avanzato richiede una policy sia sull'ARN del flusso di dati sia sull'ARN del consumatore.

Abilita l'accesso su più account

Per consentire l'accesso multi-account, puoi specificare un intero account o entità IAM in un altro account come principale in una policy basata sulle risorse. L'aggiunta di un principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando il principale e la risorsa si trovano in AWS account separati, è inoltre necessario utilizzare una politica basata sull'identità per concedere al principale l'accesso alla risorsa. Tuttavia, se una policy basata su risorse concede l'accesso a un principale nello stesso account, non sono richieste ulteriori policy basate su identità.

Per ulteriori informazioni sull'utilizzo delle policy basate sulle risorse per l'accesso multi-account, consulta Accesso alle risorse multi-account in IAM.

Gli amministratori del flusso di dati possono utilizzare AWS Identity and Access Management le policy per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni. L'elemento Actiondi una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata.

Operazioni di Kinesis Data Streams che possono essere condivise:

Azione Livello di accesso
DescribeStreamConsumer Consumer
DescribeStreamSummary Flusso di dati
GetRecords Flusso di dati
GetShardIterator Flusso di dati
ListShards Flusso di dati
PutRecord Flusso di dati
PutRecords Flusso di dati
SubscribeToShard Consumer

Di seguito sono riportati alcuni esempi dell'utilizzo delle policy basate sulle risorse per concedere l'accesso multi-account al flusso di dati o al consumatore registrato.

Per eseguire un'operazione su più account, è necessario specificare l'ARN del flusso per l'accesso al flusso di dati e l'ARN consumatore per l'accesso dei consumatori registrati.

Esempi di politiche basate sulle risorse per i flussi di dati Kinesis

La condivisione di un consumatore registrato implica sia una policy sul flusso di dati che una policy per i consumatori dovuta alle operazioni necessarie.

Nota

Di seguito alcuni esempi dei valori validi per Principal:

  • {"AWS": "123456789012"}

  • Utente IAM – {"AWS": "arn:aws:iam::123456789012:user/user-name"}

  • Ruolo IAM – {"AWS":["arn:aws:iam::123456789012:role/role-name"]}

  • Principali multipli (può essere una combinazione di account, utente, ruolo) – {"AWS":["123456789012", "123456789013", "arn:aws:iam::123456789012:user/user-name"]}

Example 1: Write access to the data stream
{
    "Version": "2012-10-17",
    "Id": "__default_write_policy_ID",
    "Statement": [
        {
            "Sid": "writestatement",
            "Effect": "Allow",
            "Principal": {
                "AWS": "Account12345"
            },
            "Action": [
                "kinesis:DescribeStreamSummary",
                "kinesis:ListShards",
                "kinesis:PutRecord",
                "kinesis:PutRecords"
            ],
            "Resource": "arn:aws:kinesis:us-east-2:123456789012:stream/datastreamABC"
        }
    ]
}
Example 2: Read access to the data stream
{
    "Version": "2012-10-17",
    "Id": "__default_sharedthroughput_read_policy_ID",
    "Statement": [
        {
            "Sid": "sharedthroughputreadstatement",
            "Effect": "Allow",
            "Principal": {
                "AWS": "Account12345"
            },
            "Action": [                
                "kinesis:DescribeStreamSummary",
                "kinesis:ListShards",
                "kinesis:GetRecords",
                "kinesis:GetShardIterator"
            ],
            "Resource": "arn:aws:kinesis:us-east-2:123456789012:stream/datastreamABC"
        }
    ]
}
Example 3: Share enhanced fan-out read access to a registered consumer

Dichiarazione sulla policy del flusso di dati: 

{
    "Version": "2012-10-17",
    "Id": "__default_sharedthroughput_read_policy_ID",
    "Statement": [
        {
            "Sid": "consumerreadstatement",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::Account12345:role/role-name"
            },
            "Action": [
                "kinesis:DescribeStreamSummary",
                "kinesis:ListShards"
            ],
            "Resource": "arn:aws:kinesis:us-east-2:123456789012:stream/datastreamABC"
        }
    ]
}

Dichiarazione della policy del consumatore:

{
    "Version": "2012-10-17",
    "Id": "__default_efo_read_policy_ID",
    "Statement": [
        {
            "Sid": "eforeadstatement",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::Account12345:role/role-name"
            },
            "Action": [
                "kinesis:DescribeStreamConsumer",
                "kinesis:SubscribeToShard"
            ],
            "Resource": "arn:aws:kinesis:us-east-2:123456789012:stream/datastreamABC/consumer/consumerDEF:1674696300"
        }
    ]
}

Wildcard (*) non è supportato per operazioni o campi principali, per mantenere il principio del privilegio minimo.

Gestisci la policy per il tuo flusso di dati in modo programmatico

Oltre a ciò AWS Management Console, Kinesis Data Streams dispone di tre API per la gestione delle policy relative al flusso di dati:

Utilizza PutResourePolicy per collegare o sovrascrivere una policy del flusso di dati o del consumatore. Utilizza GetResourcePolicy per controllare e visualizzare una policy del flusso di dati o del consumatore specificato. Utilizza DeleteResourcePolicy per eliminare una policy del flusso di dati o del consumatore specificato.

Limiti delle policy

Le policy delle risorse di Kinesis Data Streams prevedono le seguenti restrizioni:

  • Le Wildcard (*) non sono supportate per impedire che venga concesso un ampio accesso attraverso le politiche relative alle risorse che sono direttamente collegate a un flusso di dati o a un consumatore registrato. Inoltre, esamina attentamente le seguenti politiche per verificare che non garantiscano un ampio accesso:

    • Politiche basate sull'identità collegate ai AWS principali associati (ad esempio, ruoli IAM)

    • Politiche basate sulle risorse collegate alle AWS risorse associate (ad esempio, chiavi KMS) AWS Key Management Service

  • AWS I responsabili dei servizi non sono supportati per i presidi per evitare potenziali deputati confusi.

  • I principali federati non sono supportati.

  • Gli utenti canonici non sono supportati. IDs

  • La dimensione della policy non può superare i 20 KB.

Condividi l'accesso ai dati crittografati

Se hai abilitato la crittografia lato server per un flusso di dati con chiave KMS AWS gestita e desideri condividere l'accesso tramite una politica delle risorse, devi passare all'utilizzo della chiave gestita dal cliente (CMK). Per ulteriori informazioni, consulta Cos'è la crittografia lato server per Kinesis Data Streams?. Inoltre, devi consentire alle entità principali di condivisione di accedere alla CMK utilizzando le funzionalità di condivisione tra account di KMS. Ricorda di apportare la modifica anche alle policy IAM per le entità principali di condivisione. Per ulteriori informazioni, consulta Autorizzazione per gli utenti in altri account a utilizzare una chiave KMS.

Configurare una AWS Lambda funzione per la lettura da Kinesis Data Streams in un altro account

Per vedere un esempio di come configurare una funzione Lambda per la lettura da Kinesis Data Streams in un altro account, consulta Condividi l'accesso con funzioni tra account AWS Lambda.