我正在嘗試從 Amazon Kinesis Data Firehose 寫入由 AWS Key Management Service (AWS KMS) 加密的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。但是,我收到「存取遭拒」錯誤訊息。如何解決此問題?
解決方法
**重要事項:**請確保適用於 Kinesis Data Firehose 的 AWS Identity and Access Management (IAM) 角色具有相關的 Amazon S3 權限。如需有關 S3 權限的詳細資訊,請參閱授與 Kinesis Data Firehose 對 Amazon S3 目標的存取權。
若要解決 Kinesis Data Firehose 中的「存取遭拒」錯誤訊息,請執行下列步驟:
1、 開啟 AWS KMS 主控臺。
2、 選擇目前用於加密 S3 儲存貯體的 KMS 金鑰。
3、 選擇切換至政策視圖。
4、 檢查您是否擁有 KMS 金鑰政策中的必要權限。適當的存取權可讓您加密寫入 S3 儲存貯體的資料。
**注意:**如需有關 KMS 金鑰政策的詳細資訊,請參閱透過儲存在 AWS Key Management Service (SSE-KMS) 中的 KMS 金鑰使用伺服器端加密保護資料。
5、 更新您的政策,授予 Kinesis Data Firehose 對 KMS 金鑰的存取權:
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<account-ID>:role/<FirehoseRole>"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "<ARN of the KMS key>"
}
請務必指定加密 S3 儲存貯體的 KMS 金鑰的 Amazon Resource Name (ARN)。
6、 選擇儲存。
您也可以解決「存取遭拒」錯誤訊息,而不修改政策。若要解決錯誤訊息,請執行下列步驟:
1、 開啟 AWS KMS 主控臺。
2、 選擇目前正用於加密 S3 儲存貯體的 KMS 金鑰。
3、 在金鑰使用者 區段中,選擇新增。
4、 選取您的 Kinesis Data Firehose 角色。
5、 選擇新增。您現在擁有將資料從 Kinesis Data Firehose 寫入加密的 S3 儲存貯體的適當權限。
相關資訊
編輯金鑰