Comment résoudre l'erreur « Accès refusé » dans Kinesis Data Firehose lors de l'écriture dans un compartiment Amazon S3?

Date de la dernière mise à jour : 15/10/2020

J'essaie d'écrire des données d'Amazon Kinesis Data Firehose dans un compartiment Amazon Simple Storage Service (Amazon S3) qui est chiffré par AWS Key Management Service (AWS KMS). Cependant, je reçois un message d'erreur « Accès refusé ». Comment puis-je résoudre ce problème ?

Résolution

Important : Assurez-vous que le rôle AWS Identity and Access Management (IAM) pour Kinesis Data Firehose dispose des autorisations Amazon S3 appropriées. Pour en savoir plus sur les autorisations S3, consultez la section Accorder à Kinesis Data Firehose l'accès à une destination Amazon S3.

Procédez comme suit si le message d'erreur « Accès refusé » s'affiche dans Kinesis Data Firehose :

1.    Ouvrez AWS KMS console.

2.    Sélectionnez la clé KMS actuellement utilisée pour chiffrer votre compartiment S3.

3.    Choisir Passer à la vue de stratégie.

4.    Vérifiez que vous disposez des autorisations requises par la stratégie de clé KMS. Celles-ci vous permettent en effet de chiffrer les données écrites dans votre compartiment S3.

Remarque : Pour plus d'informations sur les stratégies de clé KMS, consultez la section Protection des données à l'aide d'un chiffrement côté serveur effectué avec des clés CMK stockées dans AWS Key Management Service (SSE-KMS).

5.    Mettez à jour votre stratégie en accordant à Kinesis Data Firehose l'accès à la clé KMS:

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<account-ID>:role/<FirehoseRole>"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "<ARN of the KMS key>"
}

Assurez-vous de spécifier l’Amazon Resource Name (ARN )de la clé KMS qui a chiffré votre compartiment S3.

6.    Choisissez Save (Enregistrer).

Vous pouvez également résoudre le message d'erreur « Accès refusé » sans modifier la stratégie. Pour résoudre le message d'erreur, effectuez les étapes suivantes:

1.    Ouvrez AWS KMS console.

2.    Choisissez la clé KMS actuellement utilisée pour chiffrer votre compartiment S3.

3.    Dans la section Utilisateurs de la clé, choisissez Ajouter.

4.    Sélectionnez votre rôle Kinesis Data Firehose.

5.    Choisissez Add (Ajouter). Vous disposez désormais des autorisations appropriées pour écrire des données de Kinesis Data Firehose dans le compartiment S3 chiffré.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?