我在一个安全控制非常严格的环境中,尝试调试使用 terraform 创建的流架构。目前,日志不工作(我认为那是因为我的日志 ARN 错误),但是创建加密流时自动生成策略的行之一(使用 AWS 服务加密,即 alias/aws/kinesis) -- 包含包含文字字符串 %FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER% 的 ARN 的一行:
{
"Sid": "",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:$awsAccount:log-group:/aws/kinesisfirehose/KDS-S3-Q8seN:log-stream:*",
"arn:aws:logs:us-east-1:$awsAccount:log-group:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%:log-stream:*"
]
},
($awsAccount 替换为实际帐号,但 %FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER% 为文字。)
这个相同的字符串也出现在其他子句和 arns 中,例如:
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%/*",
"arn:aws:s3:::%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
]
}
谁能告诉我这是做什么的,如果政策是为了按原样使用该字符串,或者我是否需要以某种方式为它提供一个值?
最佳答案
看起来 Kinesis 将创建一个源自通用模板的角色 + 策略。根据您的配置,其中一些占位符将被填充,而其他占位符将被填充(这就是您看到的那个)。可以删除这些占位符。
Source .
关于amazon-web-services - 在 AWS 中创建加密运动流时,%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER% 是什么意思?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/71082902/