Permissões para usar as chaves do KMS geradas pelo usuário - Amazon Kinesis Data Streams
Contexto de criptografia do Kinesis Data StreamsExemplo de permissões de produtorExemplo de permissões de consumidorPermissões de administrador de fluxo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões para usar as chaves do KMS geradas pelo usuário

Antes de usar a criptografia do lado do servidor com uma chave KMS gerada pelo usuário, você deve configurar AWS KMS políticas de chaves para permitir a criptografia de fluxos e a criptografia e descriptografia de registros de fluxo. Para obter exemplos e mais informações sobre AWS KMS permissões, consulte Permissões da API AWS KMS: referência de ações e recursos.

nota

O uso da chave padrão do serviço para criptografia não requer a aplicação de permissões personalizadas do IAM.

Antes de usar chaves mestras do KMS geradas pelo usuário, verifique se seus produtores e consumidores de fluxos do Kinesis (entidades principais do IAM) são usuários na política de chaves mestras do KMS. Caso contrário, as gravações e as leituras de um fluxo falharão, o que pode resultar, em última análise, em perda de dados, processamento atrasado, ou travamento de aplicativos. É possível gerenciar permissões para chaves do KMS usando políticas do IAM. Para obter mais informações, consulte Como usar políticas do IAM com o AWS KMS.

Contexto de criptografia do Kinesis Data Streams

Quando o Amazon Kinesis Data AWS KMS Streams liga em seu nome, ele passa um AWS KMS contexto de criptografia que pode ser usado como condição para autorização nas principais políticas e concessões. O Kinesis Data Streams usa o ARN do stream como contexto de criptografia em todas as chamadas. AWS KMS 

"encryptionContext": {
    "aws:kinesis:arn": "arn:aws:kinesis:region:account-id:stream/stream-name"
}

Você pode usar o contexto de criptografia para identificar o uso da sua chave KMS nos registros e registros de auditoria. Ele também aparece em texto simples em registros, como. AWS CloudTrail

Para limitar o uso da sua chave KMS às solicitações do Kinesis Data Streams para um stream específico, use a chave de condição na política de chaves kms:EncryptionContext:aws:kinesis:arn do KMS ou na política do IAM.

Exemplo de permissões de produtor

Seus produtores de fluxos do Kinesis devem ter a permissão kms:GenerateDataKey.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:GenerateDataKey"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:PutRecord",
            "kinesis:PutRecords"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Exemplo de permissões de consumidor

Seus consumidores de fluxos do Kinesis devem ter a permissão kms:Decrypt.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }, 
    {
        "Effect": "Allow",
        "Action": [
            "kinesis:GetRecords",
            "kinesis:DescribeStream"
        ],
        "Resource": "arn:aws:kinesis:*:123456789012:MyStream"
    }
  ]
}

Amazon Managed Service para Apache Flink e AWS Lambda use funções para consumir streams do Kinesis. Adicione a permissão kms:Decrypt às funções que esses consumidores usam.

Permissões de administrador de fluxo

Os administradores de fluxos do Kinesis precisam ter autorização para chamar kms:List* e kms:DescribeKey*.