本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置高级设置
下一节包含 Firehose 流的高级设置的详细信息。
-
服务器端加密:Amazon Data Firehose 支持使用 AWS Key Management Service(AWS KMS)进行 Amazon S3 服务器端加密,来加密 Amazon S3 中传输的数据。有关更多信息,请参阅使用具有 AWS KMS 托管密钥的服务器端加密(SSE-KMS)保护数据。
-
错误日志记录:Amazon Data Firehose 将记录处理和传输相关的错误。此外,启用数据转换后,还可以记录 Lambda 调用并将数据传输错误发送到 CloudWatch Logs。有关更多信息,请参阅使用 CloudWatch Logs 监控 Amazon Data Firehose。
重要
虽然是可选的,但强烈建议在创建 Firehose 流过程中启用 Kinesis Data Firehose 错误日志记录。这种做法可确保在记录处理或传输失败的情况下,您可以访问错误详细信息。
-
权限:Amazon Data Firehose 使用 IAM 角色来获取 Firehose 流所需的所有权限。您可以选择创建自动分配所需权限的新角色,也可以选择为 Amazon Data Firehose 创建的现有角色。该角色用于授予 Firehose 对各种服务的访问权限,包括 S3 存储桶、AWS KMS 密钥(如果启用了数据加密)和 Lambda 函数(如果启用了数据转换)。控制台可创建带占位符的角色。有关更多信息,请参阅什么是 IAM?。
注意
IAM 角色(包括占位符)根据您在创建 Firehose 流时选择的配置创建。如果您对 Firehose 流源或目的地进行任何更改,则必须手动更新 IAM 角色。
-
标签:您可以添加标签来组织 AWS 资源、跟踪成本和控制访问。
如果您在
CreateDeliveryStream操作中执行了标签,则 Amazon Data Firehose 会对firehose:TagDeliveryStream操作执行额外的授权,以验证用户是否具备创建标签的权限。如果您不提供此权限,则创建带有 IAM 资源标签的新 Firehose 流的请求将失败,并显示AccessDeniedException,如下所示。AccessDeniedException User: arn:aws:sts::x:assumed-role/x/x is not authorized to perform: firehose:TagDeliveryStream on resource: arn:aws:firehose:us-east-1:x:deliverystream/x with an explicit deny in an identity-based policy.以下示例演示了允许用户创建 Firehose 流并应用标签的策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "firehose:CreateDeliveryStream", "Resource": "*", } }, { "Effect": "Allow", "Action": "firehose:TagDeliveryStream", "Resource": "*", } } ] }
选择备份和高级设置后,查看您的选择,然后选择创建 Firehose 流。
新的 Firehose 流在正在创建状态下需要一些时间才能使用。当您的 Firehose 流处于活动状态后,就可以从生产者向其发送数据。
