En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Comment résoudre l'erreur « Accès refusé » dans Kinesis Data Firehose lorsque j'écris dans un compartiment Amazon S3 ?

Lecture de 2 minute(s)
0

Je souhaite écrire des données depuis Amazon Kinesis Data Firehose vers un compartiment Amazon Simple Storage Service (Amazon S3). Le compartiment Amazon S3 est chiffré par AWS Key Management Service (AWS KMS) et je reçois un message d'erreur « Accès refusé ».

Résolution

Pour résoudre l'erreur « Accès refusé », modifiez votre stratégie de clé AWS KMS. Vous pouvez également ajouter le rôle AWS Identity and Access Management (IAM) pour votre Kinesis Data Firehose.

Modifier la stratégie de clé AWS KMS

Pour modifier la stratégie de clé AWS KMS, procédez comme suit :

1.    Ouvrez la console AWS KMS.

2.    Choisissez la clé AWS KMS qui chiffre votre compartiment S3.

3.    Choisissez Passer à la vue de stratégie.

4.    Vérifiez que vous disposez des autorisations requises dans la stratégie de clé AWS KMS.

5.    Mettez à jour votre stratégie pour autoriser Kinesis Data Firehose à accéder à la clé AWS KMS :

{            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<account-ID>:role/<FirehoseRole>"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "<ARN of the KMS key>"
}

Remarque : Dans la stratégie précédente, spécifiez l'ARN de la clé AWS KMS qui chiffre votre compartiment S3.

6.    Choisissez Enregistrer.

Ajoutez votre rôle IAM dans Kinesis Data Firehose

Important : Assurez-vous que le rôle IAM pour Kinesis Data Firehose dispose des autorisations Amazon S3 requises.

Pour ajouter votre rôle IAM Kinesis Data Firehose, procédez comme suit :

1.    Ouvrez la console AWS KMS.

2.    Choisissez la clé AWS KMS qui chiffre votre compartiment S3.

3.    Dans la section Utilisateurs de clé, choisissez Ajouter.

4.    Sélectionnez votre rôle IAM dans Kinesis Data Firehose.

5.    Choisissez Ajouter.

Informations connexes

Modification des clés

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an