[英]When creating an encrypted kinesis stream in AWS, what does %FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER% mean?
我在一个安全控制非常严格的环境中,尝试调试使用 terraform 创建的 stream 架构。目前,日志无法正常工作(我认为那是因为我的日志 ARN 错误),但其中一行对于创建加密 stream 时自动生成的策略(使用 AWS 服务加密,即alias/aws/kinesis
)——有一行 ARN 包含文字字符串%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%
:
{
"Sid": "",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:$awsAccount:log-group:/aws/kinesisfirehose/KDS-S3-Q8seN:log-stream:*",
"arn:aws:logs:us-east-1:$awsAccount:log-group:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%:log-stream:*"
]
},
(其中 $awsAccount 替换为实际帐号,但%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%
为文字。)
同样的字符串也出现在其他子句和 arns 中,例如:
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%/*",
"arn:aws:s3:::%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
]
}
有人能告诉我这是做什么的吗?该策略是否打算按原样使用该字符串,或者我是否需要以某种方式为它提供一个值?
似乎 Kinesis 将创建一个源自通用模板的角色 + 策略。 根据您的配置,其中一些占位符将被填充,而其他占位符将被填充(即您看到的那个)。 可以删除这些占位符。
来源。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.