Izin untuk menggunakan kunci KMS buatan pengguna - Amazon Kinesis Data Streams
Konteks enkripsi Kinesis Data StreamsContoh izin produsenContoh izin konsumenIzin administrator streaming

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin untuk menggunakan kunci KMS buatan pengguna

Sebelum Anda dapat menggunakan enkripsi sisi server dengan kunci KMS buatan pengguna, Anda harus mengonfigurasi kebijakan AWS KMS kunci untuk mengizinkan enkripsi aliran dan enkripsi dan dekripsi catatan aliran. Untuk contoh dan informasi selengkapnya tentang AWS KMS izin, lihat Izin API AWS KMS: Referensi Tindakan dan Sumber Daya.

catatan

Penggunaan kunci layanan default untuk enkripsi tidak memerlukan penerapan izin IAM khusus.

Sebelum Anda menggunakan kunci master KMS buatan pengguna, pastikan bahwa produsen dan konsumen Kinesis stream Anda (prinsip IAM) adalah pengguna dalam kebijakan kunci utama KMS. Jika tidak, menulis dan membaca dari aliran akan gagal, yang pada akhirnya dapat mengakibatkan hilangnya data, pemrosesan tertunda, atau aplikasi yang macet. Anda dapat mengelola izin untuk kunci KMS menggunakan kebijakan IAM. Untuk informasi selengkapnya, lihat Menggunakan Kebijakan IAM dengan AWS KMS.

Konteks enkripsi Kinesis Data Streams

Ketika Amazon Kinesis Data AWS KMS Streams memanggil atas nama Anda, itu meneruskan AWS KMS konteks enkripsi yang dapat digunakan sebagai syarat untuk otorisasi dalam kebijakan dan hibah utama. Kinesis Data Streams menggunakan arus ARN sebagai konteks enkripsi dalam semua panggilan. AWS KMS 

"encryptionContext": {
    "aws:kinesis:arn": "arn:aws:kinesis:region:account-id:stream/stream-name"
}

Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi penggunaan kunci KMS Anda dalam catatan audit dan log. Itu juga muncul dalam teks biasa di log, seperti. AWS CloudTrail

Untuk membatasi penggunaan kunci KMS Anda ke permintaan dari Kinesis Data Streams untuk aliran tertentu, gunakan kms:EncryptionContext:aws:kinesis:arn kunci kondisi dalam kebijakan kunci KMS atau kebijakan IAM.

Contoh izin produsen

Produsen aliran Kinesis Anda harus memiliki izin. kms:GenerateDataKey

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:PutRecord",
            "kinesis:PutRecords"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Contoh izin konsumen

Konsumen Kinesis stream Anda harus memiliki izin. kms:Decrypt

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:GetRecords",
            "kinesis:DescribeStream"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Amazon Managed Service untuk Apache Flink dan AWS Lambda menggunakan peran untuk menggunakan aliran Kinesis. Pastikan untuk menambahkan kms:Decrypt izin ke peran yang digunakan konsumen ini.

Izin administrator streaming

Administrator aliran Kinesis harus memiliki otorisasi untuk menelepon dan. kms:List* kms:DescribeKey*