기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사용자 생성 KMS 키를 사용할 수 있는 권한
사용자 생성 KMS 키로 서버 측 암호화를 사용하려면 먼저 스트림 암호화와 스트림 레코드 암호화 및 복호화를 허용하는 AWS KMS 키 정책을 구성해야 합니다. AWS KMS 권한에 대한 예제 및 자세한 내용은 AWS KMS API 권한: 작업 및 리소스 참조를 참조하세요.
참고
암호화에 기본 서비스 키를 사용할 때는 사용자 지정 IAM 권한을 적용할 필요가 없습니다.
사용자가 생성한 KMS 마스터 키를 사용하기 전에 Kinesis 스트림 생산자와 소비자(IAM 보안 주체)가 KMS 마스터 키 정책의 사용자인지 확인합니다. 그렇지 않으면 스트림에서 읽기 및 쓰기가 실패하여 궁극적으로 데이터 손실, 처리 지연 또는 애플리케이션 중단이 발생할 수 있습니다. IAM 정책을 사용하여 KMS 키에 대한 권한을 관리할 수 있습니다. 자세한 내용은 에서 IAM 정책 사용을 AWS KMS 참조하세요.
예제 생산자 권한
Kinesis 스트림 생산자에 kms:GenerateDataKey 권한이 있어야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }
예제 소비자 권한
Kinesis 스트림 소비자에 kms:Decrypt 권한이 있어야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kinesis:GetRecords", "kinesis:DescribeStream" ], "Resource": "arn:aws:kinesis:*:123456789012:MyStream" } ] }
Amazon Managed Service for Apache Flink 및 는 역할을 AWS Lambda 사용하여 Kinesis 스트림을 사용합니다. 이 소비자가 사용하는 역할에 kms:Decrypt 권한을 추가해야 합니다.
스트림 관리자 권한
Kinesis 스트림 관리자는 kms:List* 및 kms:DescribeKey*를 직접적으로 호출할 수 있는 권한 부여가 필요합니다.
