Desidero scrivere dati da Amazon Kinesis Data Firehose in un bucket Amazon Simple Storage Service (Amazon S3). Il bucket Amazon S3 è crittografato dal Servizio AWS di gestione delle chiavi (AWS KMS) e ricevo un messaggio di errore "Accesso negato".
Risoluzione
Per risolvere l'errore "Accesso negato", modifica la policy delle chiavi di AWS KMS. Oppure aggiungi il ruolo AWS Identity and Access Management (IAM) per il tuo Kinesis Data Firehose.
Controlla la policy della chiave AWS KMS
Per modificare la policy chiave di AWS KMS, completa i seguenti passaggi:
1. Apri la console AWS KMS.
2. Scegli la chiave AWS KMS che crittografa il tuo bucket S3.
3. Scegli Passa alla visualizzazione della policy.
4. Verifica di disporre delle autorizzazioni richieste nella policy della chiave AWS KMS.
5. Aggiorna la tua policy per concedere a Kinesis Data Firehose l'accesso alla chiave AWS KMS:
{ "Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<account-ID>:role/<FirehoseRole>"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "<ARN of the KMS key>"
}
Nota: nella policy precedente, specifica l'ARN della chiave AWS KMS che crittografa il tuo bucket S3.
6. Scegli Salva.
Aggiungi il tuo ruolo IAM di Kinesis Data Firehose
Importante: assicurati che il ruolo IAM per Kinesis Data Firehose disponga delle autorizzazioni Amazon S3 richieste.
Per aggiungere il ruolo IAM di Kinesis Data Firehose, completa i seguenti passaggi:
1. Apri la console AWS KMS.
2. Scegli la chiave AWS KMS che crittografa il tuo bucket S3.
3. Nella sezione Utenti chiave, scegli Aggiungi.
4. Seleziona il tuo ruolo IAM in Kinesis Data Firehose.
5. Scegli Aggiungi.
Informazioni correlate
Modificare le chiavi