Permissões para usar chaves geradas pelo usuário KMS - Amazon Kinesis Data Streams
Exemplo de permissões de produtorExemplo de permissões de consumidorPermissões de administrador de fluxo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões para usar chaves geradas pelo usuário KMS

Antes de usar a criptografia do lado do servidor com uma KMS chave gerada pelo usuário, você deve configurar políticas de AWS KMS chaves para permitir a criptografia de fluxos e a criptografia e descriptografia de registros de fluxo. Para obter exemplos e mais informações sobre AWS KMS permissões, consulte AWS KMSAPIPermissões: Referência de ações e recursos.

nota

O uso da chave padrão do serviço para criptografia não requer a aplicação de permissões personalizadas do IAM.

Antes de usar chaves KMS mestras geradas pelo usuário, certifique-se de que seus produtores e consumidores de stream do Kinesis IAM (principais) sejam usuários na política de chaves KMS mestras. Caso contrário, as gravações e as leituras de um fluxo falharão, o que pode resultar, em última análise, em perda de dados, processamento atrasado, ou travamento de aplicativos. Você pode gerenciar permissões para chaves do KMS usando políticas do IAM. Para obter mais informações, consulte Usando IAM políticas com AWS KMS.

Exemplo de permissões de produtor

Seus produtores de fluxos do Kinesis devem ter a permissão kms:GenerateDataKey.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:PutRecord",
            "kinesis:PutRecords"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Exemplo de permissões de consumidor

Seus consumidores de fluxos do Kinesis devem ter a permissão kms:Decrypt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:GetRecords",
            "kinesis:DescribeStream"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Amazon Managed Service para Apache Flink e AWS Lambda use funções para consumir streams do Kinesis. Adicione a permissão kms:Decrypt às funções que esses consumidores usam.

Permissões de administrador de fluxo

Os administradores de fluxos do Kinesis precisam ter autorização para chamar kms:List* e kms:DescribeKey*.