我所处的环境具有非常严格的安全控制,试图调试使用terraform创建的流架构。目前,日志不起作用(我想这是因为我把ARN弄错了(,但当创建加密流时(使用AWS服务加密,即alias/aws/kinesis(,自动生成策略的其中一行有一个ARN,其中包括文字字符串%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%:
{
"Sid": "",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:$awsAccount:log-group:/aws/kinesisfirehose/KDS-S3-Q8seN:log-stream:*",
"arn:aws:logs:us-east-1:$awsAccount:log-group:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%:log-stream:*"
]
},
(其中$awsAccount被替换为实际帐号,但其中%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%是文字。(
这个字符串也出现在其他子句和arns中,例如:
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%/*",
"arn:aws:s3:::%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
]
}
有人能告诉我这是怎么做的吗?策略是否应该按原样使用该字符串,或者我是否需要以某种方式为其提供值?
Kinesis似乎将创建一个源自通用模板的角色+策略。根据您的配置,其中一些占位符将被填充,而另一些则保持不变(您看到的就是这个(。这些占位符可以删除。
来源。