Autorizzazioni per utilizzare le chiavi KMS generate dall'utente - Flusso di dati Amazon Kinesis
Contesto di crittografia Kinesis Data StreamsEsempi di autorizzazioni di produttoreEsempi di autorizzazioni per i consumatoriAutorizzazioni di amministratore di Stream

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per utilizzare le chiavi KMS generate dall'utente

Prima di poter utilizzare la crittografia lato server con una chiave KMS generata dall'utente, è necessario configurare le politiche AWS KMS chiave per consentire la crittografia degli stream e la crittografia e la decrittografia dei record di flusso. Per esempi e ulteriori informazioni sulle AWS KMS autorizzazioni, consulta Autorizzazioni dell'API AWS KMS: Actions and Resources Reference.

Nota

L'utilizzo della chiave del servizio predefinita per la crittografia non richiede l'applicazione delle autorizzazioni &IAM; personalizzate.

Prima di utilizzare le chiavi master KMS generate dall'utente, assicurati che i producer e i consumer del flusso Kinesis (principali IAM) siano utenti nella policy della chiave master KMS. In caso contrario, le operazioni di lettura e scrittura dai flussi non riusciranno, causando perdite di dati, ritardi delle elaborazioni o blocchi delle applicazioni. Puoi gestire le autorizzazioni relative alle chiavi KMS tramite le policy IAM. Per ulteriori informazioni, consulta Using IAM Policies with KMS. AWS

Contesto di crittografia Kinesis Data Streams

Quando Amazon Kinesis Data AWS KMS Streams chiama per tuo conto, trasmette un AWS KMS contesto di crittografia che può essere utilizzato come condizione per l'autorizzazione nelle politiche e nelle concessioni chiave. Kinesis Data Streams utilizza lo stream ARN come contesto di crittografia in tutte le chiamate. AWS KMS 

"encryptionContext": {
    "aws:kinesis:arn": "arn:aws:kinesis:region:account-id:stream/stream-name"
}

È possibile utilizzare il contesto di crittografia per identificare l'uso della chiave KMS nei record e nei log di controllo. Viene inoltre visualizzato in testo semplice nei log, ad esempio. AWS CloudTrail

Per limitare l'uso della chiave KMS alle richieste di Kinesis Data Streams per un flusso specifico, utilizza la chiave condition nella policy kms:EncryptionContext:aws:kinesis:arn delle chiavi KMS o nella policy IAM.

Esempi di autorizzazioni di produttore

I producer del flusso Kinesis devono disporre dell'autorizzazione kms:GenerateDataKey.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:PutRecord",
            "kinesis:PutRecords"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Esempi di autorizzazioni per i consumatori

I consumer del flusso Kinesis devono disporre dell'autorizzazione kms:Decrypt.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:GetRecords",
            "kinesis:DescribeStream"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Amazon Managed Service per Apache Flink e AWS Lambda usa i ruoli per utilizzare gli stream Kinesis. Assicurati di aggiungere le autorizzazioni kms:Decrypt per i ruoli utilizzati da tali consumatori.

Autorizzazioni di amministratore di Stream

Gli amministratori del flusso Kinesis devono avere l'autorizzazione per chiamare kms:List* e kms:DescribeKey*.