Definir as configurações avançadas - Amazon Data Firehose

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Definir as configurações avançadas

A seção a seguir contém detalhes sobre as configurações avançadas do fluxo do Firehose.

  • Criptografia do lado do servidor: o Amazon Data Firehose oferece suporte à criptografia do lado do servidor do Amazon S3 com o AWS Key Management Service (AWS KMS) para criptografar os dados entregues no Amazon S3. Para obter mais informações, consulte Protecting Data Using Server-Side Encryption with AWS KMS-Managed Keys (SSE-KMS).

  • Registro em log de erros: o Amazon Data Firehose registra em log os erros relacionados a processamento e entrega. Além disso, quando a transformação de dados está habilitada, pode registrar invocações do Lambda e enviar os erros de entrega de dados para o CloudWatch Logs. Para obter mais informações, consulte Monitorar o Amazon Data Firehose usando o CloudWatch Logs.

    Importante

    Embora opcional, é extremamente recomendável habilitar o registro em log dos erros do Amazon Data Firehose durante a criação do fluxo do Firehose. Essa prática garante que você possa acessar os detalhes do erro em caso de falhas no processamento de registros ou na entrega.

  • O Amazon Data Firehose usa os perfis do IAM para todas as permissões de que o fluxo do Firehose precisa. É possível escolher criar um novo perfil quando as permissões necessárias são atribuídas automaticamente ou escolher um perfil existente criado para o Amazon Data Firehose. O perfil é usado para conceder ao Firehose acesso a vários serviços, incluindo o bucket do S3, a chave do AWS KMS (se a criptografia de dados estiver habilitada) e a função do Lambda (se a transformação de dados estiver habilitada). O console talvez crie um perfil com espaços reservados. Para obter mais informações, consulte O que é IAM?.

    nota

    O perfil do IAM (incluindo espaços reservados) é criada com base na configuração que você escolhe ao criar um fluxo do Firehose. Se você fizer alguma alteração na fonte ou no destino do fluxo do Firehose, será necessário atualizar manualmente o perfil do IAM.

  • Tags: é possível adicionar tags para organizar os recursos da AWS, monitorar custos e controlar acesso.

    Se tags forem especificadas na ação CreateDeliveryStream, o Amazon Data Firehose realizará uma autorização adicional na ação firehose:TagDeliveryStream para verificar se os usuários têm permissões para criar tags. Se essa permissão não for fornecida, as solicitações para criar novos fluxos do Firehose com tags de recursos do IAM falharão com AccessDeniedException, conforme a seguir.

    AccessDeniedException 
User: arn:aws:sts::x:assumed-role/x/x is not authorized to perform: firehose:TagDeliveryStream on resource: arn:aws:firehose:us-east-1:x:deliverystream/x with an explicit deny in an identity-based policy.

    O exemplo a seguir demonstra uma política que permite aos usuários criar um fluxo do Firehose e aplicar tags.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "firehose:CreateDeliveryStream",
            "Resource": "*",
            }
        },
        {
            "Effect": "Allow",
            "Action": "firehose:TagDeliveryStream",
            "Resource": "*",
            }
        }
    ]
}

Depois que você definir as configurações avançadas e as configurações de backup, revise suas opções e escolha Criar fluxo do Firehose.

O novo fluxo do Firehose passa alguns segundos no estado Em criação antes de ficar disponível. Depois que o fluxo do Firehose entrar no estado Ativo, será possível iniciar o envio de dados do produtor para ele.