Uso de claves administradas por el cliente en Amazon QLDB

Debe tener en cuenta los siguientes factores al establecer, administrar y operar las aplicaciones de Amazon MSF sujetas a una política de CMK.

Clave administrada por clientes

Esta es la política de claves y el material de claves. Se deberá crear una clave que se utilice para cifrar el estado de la aplicación en el almacenamiento de aplicaciones en ejecución y en el almacenamiento duradero de aplicaciones.

Operador del ciclo de vida de las aplicaciones (iniciador de la API)

Este es el rol o usuario de IAM para Operator. El operador puede ser una persona o una automatización, como una canalización de CI/CD que creará, implementará y ejecutará la aplicación Amazon MSF. El operador del ciclo de vida de la aplicación puede ser un usuario o un rol de IAM.

nota

Es posible que el administrador de claves y el operador sean la misma persona. En ese caso, se recomienda que utilice funciones o usuarios diferentes.

Aplicación

Esta es la aplicación Amazon MSF que ha creado. El rol de ejecución de aplicaciones (IAM) no requiere cambios para usar CMK. Para obtener más información acerca de IAM en Amazon MSF, consulte Identidad y gestión de acceso para Amazon Managed Service para Apache Flink.

Dependencias entre políticas

Existen interdependencias entre la política de claves asignada a la CMK y la política de IAM que define los permisos del operador del ciclo de vida de la aplicación. Es posible que desee crearlos en el siguiente orden:

Cree el usuario o el rol de IAM de operador sin que la política de IAM defina los permisos para CMK. El operador crea la aplicación con AOK.
Cree el administrador de claves con permisos para administrar las claves de KMS. El administrador de claves crea la CMK. La política de claves hace referencia a los ARN de las funciones de operador y administrador y al ARN de la aplicación. Para obtener más información, consulte Creación de una política de claves de KMS.
Cree una política de IAM para el operador que permita gestionar la CMK de la aplicación. Para obtener más información, consulte Permisos del operador del ciclo de vida de la aplicación (emisor que llama a la API) . Adjunte la nueva política de IAM al operador. El operador actualiza la aplicación habilitando la CMK. Para obtener más información, consulte Actualización de una aplicación existente para que use CMK.

Si la aplicación no existe, créela sin CMK.

En la siguiente ilustración, se muestra cómo se implementa CMK en Amazon MSF.

Implementación de claves administradas por el cliente en Amazon MSF.

Clave administrada por el cliente (CMK): comprende la política de claves y el material de claves.
Administrador clave: el usuario o rol de IAM de KeyAdmin.
Operador del ciclo de vida de la aplicación (iniciador de la API): el usuario o rol de IAM del operador.
Aplicación: tiene una función de ejecución (IAM) asociada.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de claves en Amazon MSF

Administración de CMK mediante la consola