我在一个安全控制非常严格的环境中,尝试调试由terraform创建的流架构。目前,日志不起作用(我认为这是因为我在日志中获取ARN错误),但是当使用AWS服务加密创建加密流(即alias/aws/kinesis)时,自动生成策略的一行中有一行ARN,其中包含文本字符串%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%:
{
"Sid": "",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:$awsAccount:log-group:/aws/kinesisfirehose/KDS-S3-Q8seN:log-stream:*",
"arn:aws:logs:us-east-1:$awsAccount:log-group:%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%:log-stream:*"
]
},
(其中 $awsAccount 被替换为实际的账户号码,但 %FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER% 是字面值。)
这个字符串也出现在其他子句和ARN中,例如:
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": [
"arn:aws:s3:::%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%/*",
"arn:aws:s3:::%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%"
]
}
有人能告诉我这是做什么的吗? 这个策略是否应该直接使用那个字符串,还是我需要以某种方式提供一个值?