리소스 기반 정책을 사용하여 액세스 공유 - Amazon Kinesis Data Streams
교차 계정 AWS Lambda 함수와 액세스 공유교차 계정 KCL 소비자와 액세스 공유암호화된 데이터에 대한 액세스 공유

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

리소스 기반 정책을 사용하여 액세스 공유

참고

기존 리소스 기반 정책을 업데이트하면 기존 정책을 교체하므로, 새 정책에 필요한 모든 정보를 포함해야 합니다.

교차 계정 AWS Lambda 함수와 액세스 공유

Lambda 연산자

  1. IAM 콘솔로 이동하여 AWS Lambda 함수의 Lambda 실행 역할로 사용할 IAM 역할을 생성합니다. 필수 Kinesis Data Streams 및 Lambda 간접 호출 권한을 가지는 관리형 IAM 정책 AWSLambdaKinesisExecutionRole을 추가합니다. 또한 이 정책은 액세스 권한이 있는 모든 잠재적 Kinesis Data Streams 리소스에 대한 액세스 권한을 부여합니다.

  2. AWS Lambda 콘솔에서 Kinesis Data Streams 데이터 스트림의 레코드를 처리하는 AWS Lambda 함수를 생성하고 실행 역할 설정 중에 이전 단계에서 생성한 역할을 선택합니다. https://docs.aws.amazon.com/lambda/latest/dg/with-kinesis.html

  3. 리소스 정책 구성을 위해 Kinesis Data Streams 리소스 소유자에게 실행 역할을 제공합니다.

  4. Lambda 함수 설정을 마칩니다.

Kinesis Data Streams 리소스 소유자

  1. Lambda 함수를 간접 호출할 크로스 계정 Lambda 실행 역할을 가져옵니다.

  2. =Amazon Kinesis Data Streams 콘솔에서 데이터 스트림을 선택합니다. 데이터 스트림 공유 탭을 선택하고 공유 정책 생성 버튼을 선택하여 시각적 정책 편집기를 시작합니다. 데이터 스트림 내에서 등록된 소비자를 공유하려면 소비자를 선택하고 공유 정책 생성을 선택합니다. JSON 정책을 직접 작성할 수도 있습니다.

  3. 크로스 계정 Lambda 실행 역할을 보안 주체로 지정하고 액세스를 공유하는 정확한 Kinesis Data Streams 작업을 지정합니다. kinesis:DescribeStream 작업도 포함해야 합니다. Kinesis Data Streams의 리소스 정책 예제에 대한 자세한 내용은 Kinesis Data Streams에 대한 리소스 기반 정책 예제 섹션을 참조하세요.

  4. 정책 생성을 선택하거나 PutResourcePolicy를 사용하여 정책을 리소스에 연결합니다.

교차 계정 KCL 소비자와 액세스 공유

  • KCL 1.x를 사용하는 경우 KCL 1.15.0 이상을 사용하는지 확인합니다.

  • KCL 2.x를 사용하는 경우 KCL 2.5.3 이상을 사용하는지 확인합니다.

KCL 연산자

  1. KCL 애플리케이션을 실행할 IAM 사용자 또는 IAM 역할을 리소스 소유자에게 제공합니다.

  2. 리소스 소유자에게 데이터 스트림 또는 소비자 ARN을 요청합니다.

  3. 제공된 스트림 ARN을 KCL 구성의 일부로 지정해야 합니다.

    • KCL 1.x의 경우: KinesisClientLibConfiguration 생성자를 사용하고 스트림 ARN을 제공합니다.

    • KCL 2.x의 경우: Kinesis Client Library ConfigsBuilder에 스트림 ARN 또는 StreamTracker만 제공할 수 있습니다. StreamTracker의 경우 라이브러리에서 생성한 DynamoDB 리스 테이블에서 스트림 ARN 및 생성 Epoch를 제공합니다. 향상된 팬아웃과 같은 등록된 공유 소비자의 데이터를 읽으려면 StreamTracker를 사용하고 소비자 ARN도 제공합니다.

Kinesis Data Streams 리소스 소유자

  1. KCL 애플리케이션을 실행할 크로스 계정 IAM 사용자 또는 IAM 역할을 가져옵니다.

  2. =Amazon Kinesis Data Streams 콘솔에서 데이터 스트림을 선택합니다. 데이터 스트림 공유 탭을 선택하고 공유 정책 생성 버튼을 선택하여 시각적 정책 편집기를 시작합니다. 데이터 스트림 내에서 등록된 소비자를 공유하려면 소비자를 선택하고 공유 정책 생성을 선택합니다. JSON 정책을 직접 작성할 수도 있습니다.

  3. 크로스 계정 KCL 애플리케이션의 IAM 사용자 또는 IAM 역할을 보안 주체로 지정하고 액세스를 공유하는 정확한 Kinesis Data Streams 작업을 지정합니다. Kinesis Data Streams의 리소스 정책 예제에 대한 자세한 내용은 Kinesis Data Streams에 대한 리소스 기반 정책 예제 섹션을 참조하세요.

  4. 정책 생성을 선택하거나 PutResourcePolicy를 사용하여 정책을 리소스에 연결합니다.

암호화된 데이터에 대한 액세스 공유

AWS 관리형 KMS 키를 사용하여 데이터 스트림에 대한 서버 측 암호화를 활성화하고 리소스 정책을 통해 액세스를 공유하려는 경우 고객 관리형 키(CMK)를 사용하여 로 전환해야 합니다. 자세한 내용은 Kinesis Data Streams용 서버 측 암호화란? 단원을 참조하십시오. 또한 KMS 크로스 계정 공유 기능을 사용하여 공유 보안 주체 엔터티가 CMK에 액세스할 수 있도록 허용해야 합니다. 공유 보안 주체 엔터티에 대한 IAM 정책도 변경해야 합니다. 자세한 내용은 다른 계정의 사용자가 KMS 키를 사용하도록 허용을 참조하세요.