如何解決在寫入 Amazon S3 儲存貯體時 Kinesis Data Firehose 中出現的「存取遭拒」錯誤？

1 分的閱讀內容

我正在嘗試從 Amazon Kinesis Data Firehose 寫入由 AWS Key Management Service (AWS KMS) 加密的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。但是，我收到「存取遭拒」錯誤訊息。如何解決此問題？

解決方法

**重要事項：**請確保適用於 Kinesis Data Firehose 的 AWS Identity and Access Management (IAM) 角色具有相關的 Amazon S3 權限。如需有關 S3 權限的詳細資訊，請參閱授與 Kinesis Data Firehose 對 Amazon S3 目標的存取權。

若要解決 Kinesis Data Firehose 中的「存取遭拒」錯誤訊息，請執行下列步驟：

1、開啟 AWS KMS 主控臺。

2、選擇目前用於加密 S3 儲存貯體的 KMS 金鑰。

3、選擇切換至政策視圖。

4、檢查您是否擁有 KMS 金鑰政策中的必要權限。適當的存取權可讓您加密寫入 S3 儲存貯體的資料。

**注意：**如需有關 KMS 金鑰政策的詳細資訊，請參閱透過儲存在 AWS Key Management Service (SSE-KMS) 中的 KMS 金鑰使用伺服器端加密保護資料。

5、更新您的政策，授予 Kinesis Data Firehose 對 KMS 金鑰的存取權：

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<account-ID>:role/<FirehoseRole>"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "<ARN of the KMS key>"
}

請務必指定加密 S3 儲存貯體的 KMS 金鑰的 Amazon Resource Name (ARN)。

6、選擇儲存。

您也可以解決「存取遭拒」錯誤訊息，而不修改政策。若要解決錯誤訊息，請執行下列步驟：

1、開啟 AWS KMS 主控臺。

2、選擇目前正用於加密 S3 儲存貯體的 KMS 金鑰。

3、在金鑰使用者 區段中，選擇新增。

4、選取您的 Kinesis Data Firehose 角色。

5、選擇新增。您現在擁有將資料從 Kinesis Data Firehose 寫入加密的 S3 儲存貯體的適當權限。