Ich versuche, Daten von Amazon Kinesis Data Firehose in einen Amazon Simple Storage Service (Amazon S3)-Bucket zu schreiben, der von AWS Key Management Service (AWS KMS) verschlüsselt ist. Ich erhalte jedoch die Fehlermeldung „Zugriff verweigert“. Wie löse ich das?
Lösung
Wichtig: Stellen Sie sicher, dass die AWS Identity and Access Management (IAM)-Rolle für Kinesis Data Firehose über die entsprechenden Amazon S3-Berechtigungen verfügt. Weitere Informationen zu S3-Berechtigungen finden Sie unter Gewähren Sie Kinesis Data Firehose-Zugriff auf ein Amazon S3-Ziel.
Gehen Sie wie folgt vor, um die Fehlermeldung „Zugriff verweigert“ in Kinesis Data Firehose zu beheben:
1. Öffnen Sie die AWS KMS-Konsole.
2. Wählen Sie den KMS-Schlüssel, der derzeit zum Verschlüsseln Ihres S3-Buckets verwendet wird.
3. Wählen Sie Zur Richtlinienansicht wechseln.
4. Vergewissern Sie sich, dass Sie in der KMS-Schlüsselrichtlinie über die erforderlichen Berechtigungen verfügen. Der richtige Zugriff ermöglicht es Ihnen, Daten zu verschlüsseln, die in Ihren S3-Bucket geschrieben werden.
Hinweis: Weitere Informationen zu KMS-Schlüsselrichtlinien finden Sie unter Schutz von Daten mithilfe serverseitiger Verschlüsselung mit KMS-Schlüsseln, die in AWS Key Management Service (SSE-KMS) gespeichert sind.
5. Aktualisieren Sie Ihre Richtlinie und gewähren Sie Kinesis Data Firehose Zugriff auf den KMS-Schlüssel:
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<account-ID>:role/<FirehoseRole>"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "<ARN of the KMS key>"
}
Geben Sie unbedingt den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels an, mit dem Ihr S3-Bucket verschlüsselt wurde.
6. Wählen Sie Speichern.
Sie können die Fehlermeldung „Zugriff verweigert“ auch beheben, ohne die Richtlinie zu ändern. Gehen Sie wie folgt vor, um die Fehlermeldung zu beheben:
1. Öffnen Sie die AWS KMS-Konsole.
2. Wählen Sie den KMS-Schlüssel, der derzeit zum Verschlüsseln Ihres S3-Buckets verwendet wird.
3. Wählen Sie im Abschnitt Hauptbenutzer die Option Hinzufügen aus.
4. Wählen Sie Ihre Kinesis Data Firehose-Rolle aus.
5. Wählen Sie Hinzufügen aus. Sie haben jetzt die richtigen Berechtigungen, um Daten von Kinesis Data Firehose in den verschlüsselten S3-Bucket zu schreiben.
Ähnliche Informationen
Schlüssel bearbeiten