Autorizzazioni per utilizzare le chiavi generate dall'utente KMS - Flusso di dati Amazon Kinesis
Esempio di autorizzazioni di produttoreEsempi di autorizzazioni per i consumatoriAutorizzazioni di amministratore di Stream

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per utilizzare le chiavi generate dall'utente KMS

Prima di poter utilizzare la crittografia lato server con una KMS chiave generata dall'utente, è necessario configurare le politiche AWS KMS chiave per consentire la crittografia degli stream e la crittografia e la decrittografia dei record di flusso. Per esempi e ulteriori informazioni sulle autorizzazioni, vedere AWS KMSAWS KMS API Permissions: Actions and Resources Reference.

Nota

L'utilizzo della chiave del servizio predefinita per la crittografia non richiede l'applicazione delle autorizzazioni IAM personalizzate.

Prima di utilizzare le chiavi KMS master generate dall'utente, assicurati che i produttori e i consumatori IAM (principali) dello stream Kinesis siano utenti inclusi nella policy KMS delle chiavi master. In caso contrario, le operazioni di lettura e scrittura dai flussi non riusciranno, causando perdite di dati, ritardi delle elaborazioni o blocchi delle applicazioni. Puoi gestire le autorizzazioni relative alle chiavi KMS tramite le policy IAM. Per ulteriori informazioni, consulta Using Policies with IAM. AWS KMS

Esempio di autorizzazioni di produttore

I producer del flusso Kinesis devono disporre dell'autorizzazione kms:GenerateDataKey.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:PutRecord",
            "kinesis:PutRecords"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Esempi di autorizzazioni per i consumatori

I consumer del flusso Kinesis devono disporre dell'autorizzazione kms:Decrypt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:GetRecords",
            "kinesis:DescribeStream"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Amazon Managed Service per Apache Flink e AWS Lambda usa i ruoli per utilizzare gli stream Kinesis. Assicurati di aggiungere le autorizzazioni kms:Decrypt per i ruoli utilizzati da tali consumatori.

Autorizzazioni di amministratore di Stream

Gli amministratori del flusso Kinesis devono avere l'autorizzazione per chiamare kms:List* e kms:DescribeKey*.