在 AWS 中创建加密的 kinesis stream 时,%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER% 是什么意思?
[英]When creating an encrypted kinesis stream in AWS, what does %FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER% mean?
问题描述
我在一个安全控制非常严格的环境中,尝试调试使用 terraform 创建的 stream 架构。目前,日志无法正常工作(我认为那是因为我的日志 ARN 错误),但其中一行对于创建加密 stream 时自动生成的策略(使用 AWS 服务加密,即alias/aws/kinesis )——有一行 ARN 包含文字字符串%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER% :
{
"Sid": "",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:$awsAccount:log-group:/aws/kinesisfirehose/KDS-S3-Q8seN:log-stream:*",
"arn:aws:logs:us-east-1:$awsAccount:log-group:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%:log-stream:*"
]
},
(其中 $awsAccount 替换为实际帐号,但%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%为文字。)
同样的字符串也出现在其他子句和 arns 中,例如:
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%/*",
"arn:aws:s3:::%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
]
}
有人能告诉我这是做什么的吗?该策略是否打算按原样使用该字符串,或者我是否需要以某种方式为它提供一个值?
1 个解决方案
解决方案1
1 2022-03-30 06:32:32
似乎 Kinesis 将创建一个源自通用模板的角色 + 策略。 根据您的配置,其中一些占位符将被填充,而其他占位符将被填充(即您看到的那个)。 可以删除这些占位符。
来源。
从数据 stream (Kinesis) 到 OpenSearch AWS 创建交付 stream (Firehose)
[英]Create delivery stream (Firehose) from data stream (Kinesis) to OpenSearch AWS
如何通过 cloudformation 模板向 Kinesis Firehose Delivery stream 添加标签?
[英]How to add tag to a Kinesis Firehose Delivery stream through cloudformation template?
AWS Put Subscription Filter for Kinesis Firehose using Cloudformation - 检查给定的 Firehose stream 是否处于活动状态 state
[英]AWS Put Subscription Filter for Kinesis Firehose using Cloudformation - Check if the given Firehose stream is in ACTIVE state
AWS IAM 策略中要求的资源类型意味着什么
[英]What does it mean for a resource type to be required in an AWS IAM policy
AWS Kinesis 代理未授权执行:firehose:PutRecordBatch
[英]AWS Kinesis agent not authorized to perform: firehose:PutRecordBatch
使用来自 Kinesis Data Stream 源的 Kinesis Firehose Delivery Stream 将数据写入 S3 时出现问题
[英]Problem writing data to S3 with Kinesis Firehose Delivery Stream from Kinesis Data Stream source
AWS Kinesis Firehose - 按纪元以外的时间戳进行动态分区
[英]AWS Kinesis Firehose - dynamic partitioning by timestamp other than epoch
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
AWS Kinesis Firehose stream 是否会覆盖表上的锁
从数据 stream (Kinesis) 到 OpenSearch AWS 创建交付 stream (Firehose)
Kinesis Firehose Stream 空
如何通过 cloudformation 模板向 Kinesis Firehose Delivery stream 添加标签?
AWS Kinesis Data Firehose 和 Lambda
AWS Put Subscription Filter for Kinesis Firehose using Cloudformation - 检查给定的 Firehose stream 是否处于活动状态 state
AWS IAM 策略中要求的资源类型意味着什么
AWS Kinesis 代理未授权执行:firehose:PutRecordBatch
使用来自 Kinesis Data Stream 源的 Kinesis Firehose Delivery Stream 将数据写入 S3 时出现问题
AWS Kinesis Firehose - 按纪元以外的时间戳进行动态分区
相关标签