Permisos para utilizar claves de KMS generadas por el usuario - Amazon Kinesis Data Streams
Contexto de cifrado de Kinesis Data StreamsEjemplo de permisos para productoresEjemplo de permisos para consumidoresPermisos de administrador de flujos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos para utilizar claves de KMS generadas por el usuario

Para poder utilizar el cifrado del lado del servidor con una clave KMS generada por el usuario, debe configurar AWS KMS políticas de claves que permitan el cifrado de las transmisiones y el cifrado y descifrado de los registros de las transmisiones. Para ver ejemplos y más información sobre AWS KMS los permisos, consulte Permisos de la API de AWS KMS: referencia sobre acciones y recursos.

nota

El uso de las claves de servicio predeterminadas para el cifrado no requiere que se apliquen permisos de IAM personalizados.

Antes de utilizar las claves principales de KMS generadas por el usuario, asegúrese de que sus productores y consumidores de flujos de Kinesis (entidades principales de IAM) sean usuarios en la política de claves principales de KMS. De lo contrario, las labores de escritura y lectura de una secuencia producirán un error, lo que, en definitiva, podría resultar en pérdida de datos, retrasos en el procesamiento, aplicaciones colgadas. Puede administrar los permisos para las claves de KMS con las políticas de IAM. Para obtener más información, consulte Uso de políticas de IAM con AWS KMS.

Contexto de cifrado de Kinesis Data Streams

Cuando Amazon Kinesis Data Streams AWS KMS llama en su nombre, pasa un contexto de cifrado AWS KMS al que se puede utilizar como condición para la autorización en políticas y concesiones clave. Kinesis Data Streams utiliza el ARN de transmisión como contexto de cifrado en todas las llamadas. AWS KMS 

"encryptionContext": {
    "aws:kinesis:arn": "arn:aws:kinesis:region:account-id:stream/stream-name"
}

Puede usar el contexto de cifrado para identificar el uso de su clave KMS en los registros y registros de auditoría. También aparece en texto plano en los registros, como AWS CloudTrail.

Para limitar el uso de la clave de KMS a las solicitudes de Kinesis Data Streams para una transmisión específica, utilice kms:EncryptionContext:aws:kinesis:arn la clave de condición de la política de claves de KMS o la política de IAM.

Ejemplo de permisos para productores

Sus productores de flujos de Kinesis deben tener el permiso kms:GenerateDataKey.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:PutRecord",
            "kinesis:PutRecords"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Ejemplo de permisos para consumidores

Sus consumidores de flujos de Kinesis deben tener el permiso kms:Decrypt.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:GetRecords",
            "kinesis:DescribeStream"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Amazon Managed Service para Apache Flink y AWS Lambda utilice roles para consumir transmisiones de Kinesis. Asegúrese de agregar el permiso kms:Decrypt a los roles que usen estos consumidores.

Permisos de administrador de flujos

Los administradores de flujos de Kinesis deben tener autorización para llamar a kms:List* y kms:DescribeKey*.