As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Compartilhamento de acesso usando políticas baseadas em recursos
**nota**
Atualizar uma política existente baseada em recursos significa substituir a atual, portanto, certifique-se de incluir todas as informações necessárias em sua nova política.
## Compartilhe o acesso com funções entre contas AWS Lambda
**Operador do Lambda**
1. Acesse o [console do IAM](https://console.aws.amazon.com/iam/) para criar uma função do IAM que será usada como a função de [execução do Lambda para sua AWS Lambda função](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html). Inclua a política do IAM gerenciada `AWSLambdaKinesisExecutionRole` que tem as permissões de invocação necessárias do Kinesis Data Streams e do Lambda. Essa política também concede acesso a todos os possíveis recursos do Kinesis Data Streams aos quais você possa ter acesso.
1. No [AWS Lambda console](https://console.aws.amazon.com/lambda/home), crie uma AWS Lambda função [para processar registros em um stream de dados do Kinesis Data Streams](https://docs.aws.amazon.com/lambda/latest/dg/with-kinesis.html) e, durante a configuração da função de execução, escolha a função que você criou na etapa anterior.
1. Forneça o perfil de execução ao proprietário do recurso do Kinesis Data Streams para configurar a política de recursos.
1. Conclua a configuração da função do Lambda.
**Proprietário do recurso do Kinesis Data Streams**
1. Obtenha o perfil de execução entre contas do Lambda que invocará a função do Lambda.
1. No console do Amazon Kinesis Data Streams, escolha o fluxo de dados. Escolha a guia **Compartilhamento de fluxo de dados** e clique no botão **Criar política de compartilhamento** para iniciar o editor visual de políticas. Para compartilhar um consumidor registrado em um fluxo de dados, escolha o consumidor e, em seguida, escolha **Criar política de compartilhamento**. Também é possível escrever a política JSON diretamente.
1. Especifique o perfil de execução entre contas do Lambda como a entidade principal e as ações exatas do Kinesis Data Streams com as quais o acesso seja compartilhado. Certifique-se de incluir a ação `kinesis:DescribeStream`. Para obter mais informações sobre exemplos de políticas de recursos do Kinesis Data Streams, consulte [Exemplo de políticas baseadas em recursos para fluxo de dados do Kinesis](controlling-access.md#kinesis-stream-sharing-iam-examples).
1. Escolha **Criar política** ou use o [PutResourcePolicy](https://docs.aws.amazon.com/kinesis/latest/APIReference/API_PutResourcePolicy.html)para anexar a política ao seu recurso.
## Compartilhamento de acesso com consumidores de várias contas da KCL
+ Se estiver usando a KCL 1.x, verifique se é a versão KCL 1.15.0 ou superior.
+ Se estiver usando a KCL 2.x, verifique se é a versão KCL 2.5.3 ou superior.
**Operador da KCL**
1. Forneça ao proprietário do recurso seu usuário do IAM ou o perfil do IAM que executará aplicação KCL.
1. Peça ao proprietário do recurso o fluxo de dados ou o ARN do consumidor.
1. Certifique-se de especificar o ARN do fluxo fornecido como parte da configuração da KCL.
+ Para KCL 1.x: use o [KinesisClientLibConfiguration](https://github.com/awslabs/amazon-kinesis-client/blob/v1.x/src/main/java/com/amazonaws/services/kinesis/clientlibrary/lib/worker/KinesisClientLibConfiguration.java#L738-L821)construtor e forneça o ARN do fluxo.
+ Para o KCL 2.x: você pode fornecer apenas o ARN do stream ou para a biblioteca de cliente [StreamTracker](https://github.com/awslabs/amazon-kinesis-client/blob/master/amazon-kinesis-client/src/main/java/software/amazon/kinesis/processor/StreamTracker.java)do Kinesis. [ConfigsBuilder](https://github.com/awslabs/amazon-kinesis-client/blob/master/amazon-kinesis-client/src/main/java/software/amazon/kinesis/common/ConfigsBuilder.java#L155-L176) Para StreamTracker, forneça o ARN do stream e o Epoch de criação a partir da tabela de lease do DynamoDB que é gerada pela biblioteca. Se você quiser ler de um consumidor registrado compartilhado, como o Enhanced Fan-Out, use StreamTracker e também forneça o ARN do consumidor.
**Proprietário do recurso do Kinesis Data Streams**
1. Obtenha o usuário do IAM ou o perfil do IAM de várias contas que executará a aplicação KCL.
1. No console do Amazon Kinesis Data Streams, escolha o fluxo de dados. Escolha a guia **Compartilhamento de fluxo de dados** e clique no botão **Criar política de compartilhamento** para iniciar o editor visual de políticas. Para compartilhar um consumidor registrado em um fluxo de dados, escolha o consumidor e, em seguida, escolha **Criar política de compartilhamento**. Você também pode escrever a política JSON diretamente.
1. Especifique o usuário do IAM ou o perfil do IAM da aplicação KCL de várias contas como entidade principal e as ações exatas do Kinesis Data Streams às quais o acesso seja compartilhado. Para obter mais informações sobre exemplos de políticas de recursos do Kinesis Data Streams, consulte [Exemplo de políticas baseadas em recursos para fluxo de dados do Kinesis](controlling-access.md#kinesis-stream-sharing-iam-examples).
1. Escolha **Criar política** ou use o [PutResourcePolicy](https://docs.aws.amazon.com/kinesis/latest/APIReference/API_PutResourcePolicy.html)para anexar a política ao seu recurso.
## Compartilhamento de acesso a dados criptografados
Se você habilitou a criptografia do lado do servidor para um fluxo de dados com chave KMS AWS gerenciada e deseja compartilhar o acesso por meio de uma política de recursos, deve passar a usar a chave gerenciada pelo cliente (CMK). Para obter mais informações, consulte [O que é criptografia no lado do servidor para o Kinesis Data Streams?](what-is-sse.md). Além disso, deve-se permitir que as entidades principais de compartilhamento tenham acesso à sua CMK, usando os recursos de compartilhamento entre contas do KMS. Certifique-se também de fazer a alteração nas políticas do IAM para as entidades principais de compartilhamento. Para ter mais informações, consulte o tópico sobre como [Permitir que usuários de outras contas utilizem uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html).