Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni per utilizzare le chiavi generate dall'utente KMS
Prima di poter utilizzare la crittografia lato server con una KMS chiave generata dall'utente, è necessario configurare le politiche AWS KMS chiave per consentire la crittografia degli stream e la crittografia e la decrittografia dei record di flusso. Per esempi e ulteriori informazioni sulle autorizzazioni, vedere AWS KMSAWS KMS API Permissions: Actions and Resources Reference.
Nota
L'uso della chiave di servizio predefinita per la crittografia non richiede l'applicazione di autorizzazioni personalizzateIAM.
Prima di utilizzare le chiavi KMS master generate dall'utente, assicurati che i produttori e i consumatori IAM (principali) dello stream Kinesis siano utenti inclusi nella policy KMS delle chiavi master. In caso contrario, le operazioni di lettura e scrittura dai flussi non riusciranno, causando perdite di dati, ritardi delle elaborazioni o blocchi delle applicazioni. Puoi gestire le autorizzazioni per KMS le chiavi utilizzando le policy. IAM Per ulteriori informazioni, vedere Utilizzo delle IAM politiche con AWS KMS.
Esempio di autorizzazioni di produttore
I producer del flusso Kinesis devono disporre dell'autorizzazione kms:GenerateDataKey
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }
Esempi di autorizzazioni per i consumatori
I consumer del flusso Kinesis devono disporre dell'autorizzazione kms:Decrypt
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:GetRecords", "kinesis:DescribeStream" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }
Amazon Managed Service per Apache Flink e AWS Lambda usa i ruoli per utilizzare gli stream Kinesis. Assicurati di aggiungere le autorizzazioni kms:Decrypt
per i ruoli utilizzati da tali consumatori.
Autorizzazioni di amministratore di Stream
Gli amministratori del flusso Kinesis devono avere l'autorizzazione per chiamare kms:List*
e kms:DescribeKey*
.