Come posso risolvere l'errore "Access Denied" in Kinesis Data Firehose quando scrivo su un bucket Amazon S3?

2 minuti di lettura

Sto cercando di scrivere dati da Amazon Kinesis Data Firehose in un bucket Amazon Simple Storage Service (Amazon S3) crittografato dal Servizio di gestione delle chiavi AWS (AWS KMS). Tuttavia, ricevo il messaggio di errore "Access Denied". Come faccio a risolvere questo problema?

Soluzione

Importante: Assicurati che il ruolo AWS Identity and Access Management (IAM) per Kinesis Data Firehose disponga delle autorizzazioni Amazon S3 pertinenti. Per ulteriori informazioni sulle autorizzazioni S3, consulta Concedere a Kinesis Data Firehose l'accesso a una destinazione Amazon S3.

Per risolvere il messaggio di errore "Access Denied" in Kinesis Data Firehose, effettua le seguenti operazioni:

1. Apri la console AWS KMS.

2. Scegli la chiave KMS attualmente utilizzata per crittografare il tuo bucket S3.

3. Scegli Passa alla visualizzazione della policy.

4. Verifica di disporre delle autorizzazioni richieste nella policy della chiave KMS. Un accesso corretto consente di crittografare i dati scritti nel bucket S3.

Nota: Per ulteriori informazioni sulle policy delle chiavi KMS, consulta Protezione dei dati tramite crittografia lato server con chiavi KMS archiviate nel Servizio di gestione delle chiavi AWS (SSE-KMS).

5. Aggiorna la tua policy concedendo a Kinesis Data Firehose l'accesso alla chiave KMS:

{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<account-ID>:role/<FirehoseRole>"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "<ARN of the KMS key>"
}

Assicurati di specificare il nome della risorsa Amazon (ARN) della chiave KMS che ha crittografato il tuo bucket S3.

6. Scegli Salva.

Puoi risolvere il messaggio di errore "Access Denied" anche senza modificare la policy. Per risolvere il messaggio di errore, procedi come segue:

1. Apri la console AWS KMS.

2. Scegli la chiave KMS attualmente in uso per crittografare il tuo bucket S3.

3. Nella sezione Utenti chiave, scegli Aggiungi.

4. Seleziona il tuo ruolo in Kinesis Data Firehose.

5. Scegli Aggiungi. Ora disponi delle autorizzazioni appropriate per scrivere dati da Kinesis Data Firehose nel bucket S3 crittografato.