Comment résoudre l'erreur « Accès refusé » dans Kinesis Data Firehose lors de l'écriture de données dans un compartiment Amazon S3 ?

Dernière mise à jour : 21/04/2020

Je tente d'écrire des données depuis Amazon Kinesis Data Firehose dans un compartiment Amazon Simple Storage Service (Amazon S3) chiffré à l'aide d'AWS Key Management Service (AWS KMS). Cependant, le message d'erreur « Accès refusé » s'affiche. Comment puis-je résoudre ce problème ?

Solution

Important : Assurez-vous que le rôle AWS Identity and Access Management (IAM) pour Kinesis Data Firehose dispose des autorisations Amazon S3 appropriées. Pour en savoir plus sur les autorisations S3, consultez la section Accorder à Kinesis Data Firehose l'accès à une destination Amazon S3.

Procédez comme suit si le message d'erreur « Accès refusé » s'affiche dans Kinesis Data Firehose :

1.    Ouvrez AWS KMS console.

2.    Sélectionnez la clé KMS actuellement utilisée pour chiffrer votre compartiment S3.

3.    Sélectionnez la vue « Passer à l'affichage des stratégies ».

4.    Vérifiez que vous disposez des autorisations requises par la stratégie de clé KMS. Celles-ci vous permettent en effet de chiffrer les données écrites dans votre compartiment S3.

Remarque : Pour plus d'informations sur les stratégies de clé KMS, consultez la section Protection des données à l'aide d'un chiffrement côté serveur effectué avec des clés CMK stockées dans AWS Key Management Service (SSE-KMS).

5.    Mettez à jour votre stratégie en accordant à Kinesis Data Firehose l'accès à la clé KMS :

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<account-ID>:role/<FirehoseRole>"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}

6.    Sélectionnez Enregistrer.

Vous pouvez également résoudre l'erreur « Accès refusé » sans modifier la stratégie. Pour résoudre le message d'erreur en mettant à jour votre rôle IAM, effectuez les opérations suivantes :

1.    Ouvrez AWS KMS console.

2.    Choisissez la clé KMS actuellement utilisée pour chiffrer votre compartiment S3.

3.    Dans la section Key users (Utilisateurs de la clé), choisissez Add (Ajouter).

4.    Sélectionnez votre rôle Kinesis Data Firehose.

5.    Sélectionnez Add (Ajouter).


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?