Ich möchte Daten von Amazon Kinesis Data Firehose in einen Amazon Simple Storage Service (Amazon S3)-Bucket übertragen. Der Amazon S3-Bucket wird vom AWS Key Management Service (AWS KMS) verschlüsselt, und ich erhalte die Fehlermeldung „Zugriff verweigert“.
Behebung
Um den Fehler „Zugriff verweigert“ zu beheben, ändern Sie entweder Ihre AWS-KMS-Schlüsselrichtlinie. Oder fügen Sie die Rolle AWS Identity and Access Management (IAM) für Ihre Kinesis Data Firehose hinzu.
Ändern der AWS-KMS-Schlüsselrichtlinie
Gehen Sie wie folgt vor, um die AWS-KMS-Schlüsselrichtlinie zu ändern:
1. Öffnen Sie die AWS KMS-Konsole.
- Wählen Sie den AWS KMS-Schlüssel, der Ihren S3-Bucket verschlüsselt.
3. Wählen Sie Zur Richtlinienansicht wechseln.
4. Vergewissern Sie sich, dass Sie in der AWS-KMS-Schlüsselrichtlinie über die erforderlichen Berechtigungen verfügen.
- Aktualisieren Sie Ihre Richtlinie, um Kinesis Data Firehose Zugriff auf den AWS-KMS-Schlüssel zu gewähren:
{ "Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<account-ID>:role/<FirehoseRole>"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "<ARN of the KMS key>"
}
Hinweis: Geben Sie in der vorherigen Richtlinie den ARN des AWS-KMS-Schlüssels an, der Ihren S3-Bucket verschlüsselt.
6. Wählen Sie Speichern aus.
Fügen Sie Ihre Kinesis Data Firehose IAM-Rolle hinzu
Wichtig: Stellen Sie sicher, dass die IAM-Rolle für Kinesis Data Firehose über die erforderlichen Amazon S3-Berechtigungen verfügt.
Gehen Sie wie folgt vor, um Ihre Kinesis Data Firehose IAM-Rolle hinzuzufügen:
1. Öffnen Sie die AWS KMS-Konsole.
- Wählen Sie den AWS KMS-Schlüssel, der Ihren S3-Bucket verschlüsselt.
3. Wählen Sie im Abschnitt Hauptbenutzer die Option Hinzufügen.
4. Wählen Sie Ihre Kinesis Data Firehose IAM-Rolle aus.
5. Wählen Sie Hinzufügen aus.
Ähnliche Informationen
Schlüssel bearbeiten