Como faço para resolver o erro “Acesso negado” no Kinesis Data Firehose ao gravar em um bucket do Amazon S3?

2 minuto de leitura

Estou tentando gravar dados do Amazon Kinesis Data Firehose em um bucket do Amazon Simple Storage Service (Amazon S3) criptografado pelo AWS Key Management Service (AWS KMS). No entanto, recebo uma mensagem de erro “Acesso negado”. Como faço para resolver isso?

Resolução

Importante: certifique-se de que a função AWS Identity and Access Management (IAM) para o Kinesis Data Firehose tenha as permissões relevantes do Amazon S3. Para mais informações sobre as permissões do S3, consulte Grant Kinesis Data Firehose access to an Amazon S3 destination (Conceder ao Kinesis Data Firehose acesso a um destino do Amazon S3).

Para resolver a mensagem de erro “Acesso negado” no Kinesis Data Firehose, execute as seguintes etapas:

1. Abra o console do AWS KMS.

2. Escolha a chave KMS usada atualmente para criptografar seu bucket do S3.

3. Escolha Switch to policy view (Alternar para a exibição da política).

4. Verifique se você tem as permissões necessárias na política de chaves do KMS. O acesso adequado permite que você criptografe os dados gravados no seu bucket do S3.

Observação: para mais informações sobre as políticas de chaves do KMS, consulte Protecting data using server-side encryption with KMS keys stored in AWS Key Management Service (SSE-KMS) (Proteger dados usando criptografia do lado do servidor com chaves KMS armazenadas no AWS Key Management Service (SSE-KMS)).

5. Atualize sua política, concedendo ao Kinesis Data Firehose acesso à chave KMS:

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<account-ID>:role/<FirehoseRole>"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "<ARN of the KMS key>"
}

Certifique-se de especificar o Amazon Resource Name (ARN) da chave KMS que criptografou seu bucket do S3.

6. Escolha Save (Salvar).

Você também pode resolver a mensagem de erro “Acesso negado” sem modificar a política. Para resolver a mensagem de erro, execute as seguintes etapas:

1. Abra o console do AWS KMS.

2. Escolha a chave KMS que está sendo usada atualmente para criptografar seu bucket do S3.

3. Na seção Key users (Usuários principais), escolha Add (Adicionar).

4. Selecione sua função do Kinesis Data Firehose.

5. Escolha Add (Adicionar). Agora você tem as permissões adequadas para gravar dados do Kinesis Data Firehose no bucket criptografado do S3.

Informações relacionadas

Teclas de edição

Tópicos

Análise Internet das Coisas (IoT)

Vídeos relacionados

Assista ao vídeo de Akshata para saber mais (2:07)

AWS OFICIALAtualizada há 4 anos

Conteúdo relevante

Por que o Kinesis Data Firehose está criando tantos arquivos pequenos no S3?
AWS OFICIALAtualizada há 2 anos
Como faço para ativar o registro em log do AWS WAF e enviar esses logs para o CloudWatch, Amazon S3 ou Kinesis Data Firehose?
AWS OFICIALAtualizada há 2 anos
Como configurar o streaming entre contas do Kinesis Data Firehose para o Amazon OpenSearch Service?
AWS OFICIALAtualizada há 5 meses
Como enviar o Amazon CloudWatch Logs entre contas para o Kinesis Data Firehose?
AWS OFICIALAtualizada há um ano