¿Cómo puedo invocar una función de Lambda a través de una secuencia de Kinesis entre cuentas?

Solución

Amazon Kinesis Data Streams admite políticas basadas en recursos, lo cual le permite procesar los datos ingeridos en una secuencia en una cuenta con una función de AWS Lambda en otra cuenta.

Siga los pasos que se indican a continuación para crear la función de Lambda y configurarla de modo que pueda acceder a su secuencia de datos de Kinesis.

Creación de un rol de ejecución de Lambda

1. Acceda a la consola de IAM y seleccione la pestaña Roles.
2. Seleccione Crear rol.
3. En Servicio de AWS, elija Tipo de entidad de confianza. En Servicio, elija Lambda.
4. En la tabla Políticas de permisos, seleccione la política de IAM administrada AWSLambdaKinesisExecutionRole.
5. Proporcione un nombre para el rol y seleccione Crear rol.

Nota: La política de IAM administrada AWSLambdaKinesisExecutionRole tiene los permisos de invocación de Lambda y Kinesis Data Streams necesarios. También otorga acceso a todos los posibles recursos de Kinesis Data Streams a los que pueda acceder.

Creación de la función de Lambda

Cree una función de AWS Lambda que pueda procesar registros en una secuencia de datos de Amazon Kinesis.

En Rol de ejecución, elija el rol que creó.

Nota: Esta política tiene los permisos necesarios de invocación de Lambda y Kinesis Data Streams. También otorga acceso a todos los posibles recursos de Kinesis Data Streams a los que pueda acceder.
Añada el rol de ejecución al propietario del recurso de Kinesis Data Streams para configurar la política de recursos.

Configuración de la secuencia de datos de Kinesis

1. Acceda a la consola de Amazon Kinesis Data Streams y elija su secuencia de datos.
2. Seleccione la pestaña Uso compartido de secuencias de datos.
3. Seleccione Crear política para iniciar el editor visual de políticas.
4. Elija el consumidor en la pestaña Distribución ramificada mejorada para compartir un consumidor registrado en una secuencia de datos.
5. Seleccione Crear política. También puede escribir la política JSON directamente.
6. En Entidad principal, introduzca el rol de ejecución de Lambda entre cuentas que creó. Asegúrese de incluir la acción kinesis:DescribeStream.
   Para obtener más información sobre ejemplos de políticas de recursos para Kinesis Data Streams, consulte Example resource-based policies for Kinesis Data Streams.
7. Seleccione Crear política. Como alternativa, utilice PutResourcePolicy para asociar la política al recurso.

Si utiliza el cifrado desde el servidor con una clave administrada de AWS y quiere compartir el acceso mediante una política de recursos, debe utilizar una clave administrada por el cliente (clave de AWS KMS). Para obtener más información, consulte What is server-side Encryption for Kinesis Data Streams? Además, debe permitir que las entidades principales que comparte tengan acceso a su clave de KMS a través del acceso entre cuentas de KMS. Para obtener más información, consulte Allowing users in other accounts to use a KMS key.