Quiero escribir datos de Amazon Kinesis Data Firehose en un bucket de Amazon Simple Storage Service (Amazon S3). AWS Key Management Service (AWS KMS) ha cifrado el bucket de Amazon S3 y se muestra el mensaje de error «Acceso denegado».
Solución
Para solucionar el error «Acceso denegado», modifique la política de claves de AWS KMS o añada el rol de AWS Identity and Access Management (IAM) a su Kinesis Data Firehose.
Modificación de la política de claves de AWS KMS
Para modificar la política de claves de AWS KMS, siga estos pasos:
1.Abra la consola de AWS KMS.
2. Elija la clave de AWS KMS que cifra su bucket de S3.
3. Seleccione Cambiar a la vista de política.
4. Compruebe si tiene los permisos necesarios en la política de claves de AWS KMS.
5. Actualice su política para conceder a Kinesis Data Firehose acceso a la clave de AWS KMS:
{ "Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<account-ID>:role/<FirehoseRole>"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "<ARN of the KMS key>"
}
Nota: En la política anterior, especifique el ARN de la clave de AWS KMS que cifra el bucket de S3.
6. Seleccione Guardar.
Adición de su rol de IAM de Kinesis Data Firehose
Importante: Asegúrese de que el rol de IAM para Kinesis Data Firehose tenga los permisos necesarios de Amazon S3.
Para añadir su rol de IAM de Kinesis Data Firehose, siga estos pasos:
1.Abra la consola de AWS KMS.
2. Elija la clave de AWS KMS que cifra su bucket de S3.
3. En la sección Usuarios de claves, seleccione Añadir.
4. Seleccione su rol IAM de Kinesis Data Firehose.
5. Seleccione Añadir.
Información relacionada
Edición de claves