リソースベースのポリシーを使用したアクセスを共有する - Amazon Kinesis Data Streams
クロスアカウント AWS Lambda 関数とアクセスを共有するクロスアカウントKCLコンシューマーとアクセスを共有する暗号化されたデータへのアクセスを共有する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リソースベースのポリシーを使用したアクセスを共有する

注記

既存のリソースベースのポリシーを更新すると既存のポリシーが置き換えられるため、新しいポリシーには必要な情報をすべて含めるようにしてください。

クロスアカウント AWS Lambda 関数とアクセスを共有する

Lambda 演算子

  1. IAM コンソールに移動して、 AWS Lambda 関数の Lambda 実行IAMロールとして使用するロールを作成します。 https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html必要な Kinesis Data Streams と Lambda 呼び出しアクセス許可AWSLambdaKinesisExecutionRoleを持つ マネージドIAMポリシーを追加します。このポリシーは、ユーザーがアクセスする可能性のあるすべての Kinesis Data Streams リソースへのアクセスも付与します。

  2. AWS Lambda コンソール で、Kinesis Data Streams データストリーム内のレコードを処理する AWS Lambda 関数を作成し、実行ロールのセットアップ中に、前のステップで作成したロールを選択します。

  3. リソースポリシーを設定するための実行ロールを Kinesis Data Streams リソースの所有者に提供します。

  4. Lambda 関数のセットアップを完了します。

Kinesis Data Streams リソースの所有者

  1. Lambda 関数を呼び出すクロスアカウントの Lambda 実行ロールを取得します。

  2. Amazon Kinesis Data Streams コンソールで、データストリームを選択します。[データストリーム共有] タブを選択し、[共有ポリシーの作成] ボタンをクリックしてビジュアルポリシーエディタを起動します。登録済みのコンシューマーをデータストリーム内で共有するには、コンシューマーを選択し、次に [共有ポリシーの作成] を選択します。JSON ポリシーを直接記述することもできます。

  3. クロスアカウントの Lambda 実行ロールをプリンシパルとして指定し、アクセスを共有する正確な Kinesis Data Streams アクションを指定します。必ず kinesis:DescribeStream アクションを含めてください。Kinesis Data Streams リソースポリシーの例については、「Kinesis Data Streams のリソースベースのポリシーの例」を参照してください。

  4. ポリシーの作成を選択するかPutResourcePolicy、 を使用してポリシーをリソースにアタッチします。

クロスアカウントKCLコンシューマーとアクセスを共有する

  • KCL 1.x を使用している場合は、1.15.0 KCL 以降を使用していることを確認してください。

  • KCL 2.x を使用している場合は、2.5.3 KCL 以降を使用していることを確認してください。

KCL 演算子

  1. KCL アプリケーションを実行するIAMユーザーまたはIAMロールをリソース所有者に提供します。

  2. データストリームまたはコンシューマー についてリソース所有者に尋ねますARN。

  3. KCL 設定ARNの一部として、提供されたストリームを指定していることを確認してください。

    • KCL 1.x の場合: KinesisClientLibConfigurationコンストラクターを使用してストリーム を指定しますARN。

    • KCL 2.x の場合: ストリーム ARNまたは を Kinesis Client Library StreamTrackerに提供できますConfigsBuilder。の場合 StreamTracker、ライブラリによって生成される DynamoDB リーステーブルからストリームARNと作成 Epoch を指定します。Enhanced Fan-Out などの共有登録コンシューマーから読み取る場合は、 StreamTracker を使用し、コンシューマー も指定しますARN。

Kinesis Data Streams リソースの所有者

  1. KCL アプリケーションを実行するクロスアカウントIAMユーザーまたはIAMロールを取得します。

  2. Amazon Kinesis Data Streams コンソールで、データストリームを選択します。[データストリーム共有] タブを選択し、[共有ポリシーの作成] ボタンをクリックしてビジュアルポリシーエディタを起動します。登録済みのコンシューマーをデータストリーム内で共有するには、コンシューマーを選択し、次に [共有ポリシーの作成] を選択します。JSON ポリシーを直接記述することもできます。

  3. アクセスを共有するクロスアカウントKCLアプリケーションのIAMユーザーまたはIAMロールをプリンシパルとして指定し、正確な Kinesis Data Streams アクションを指定します。Kinesis Data Streams リソースポリシーの例については、「Kinesis Data Streams のリソースベースのポリシーの例」を参照してください。

  4. ポリシーの作成を選択するかPutResourcePolicy、 を使用してポリシーをリソースにアタッチします。

暗号化されたデータへのアクセスを共有する

AWS マネージドKMSキーでデータストリームのサーバー側の暗号化を有効にしていて、リソースポリシーを介してアクセスを共有する場合は、カスタマーマネージドキー () を使用して に切り替える必要がありますCMK。詳細については、「Kinesis Data Streams 用のサーバー側の暗号化とは?」を参照してください。さらに、KMSクロスアカウント共有機能を使用してCMK、共有プリンシパルエンティティが にアクセスできるようにする必要があります。共有プリンシパルエンティティのIAMポリシーも必ず変更してください。詳細については、「他のアカウントのユーザーにKMSキーの使用を許可する」を参照してください。