Berechtigungen für VPC Multi-Private-Konnektivität

In diesem Abschnitt werden die Berechtigungen zusammengefasst, die für Clients und Cluster erforderlich sind, die die VPC Multi-Private-Connectivity-Funktion verwenden. VPCMulti-Private-Konnektivität erfordert, dass der Client-Administrator für jeden Client, der über eine verwaltete VPC Verbindung zum MSK Cluster verfügt, Berechtigungen erstellt. Außerdem muss der MSK Clusteradministrator die PrivateLink Konnektivität auf dem MSK Cluster aktivieren und Authentifizierungsschemata auswählen, um den Zugriff auf den Cluster zu kontrollieren.

Cluster-Authentifizierungstyp und Zugriffsberechtigungen für Themen

Aktivieren Sie die VPC Multi-Private-Konnektivitätsfunktion für Authentifizierungsschemas, die für Ihren MSK Cluster aktiviert sind. Siehe Anforderungen und Einschränkungen für Multi-Private-Konnektivität VPC. Wenn Sie Ihren MSK Cluster für die Verwendung desSASL/SCRAMauth-Schemas konfigurieren, ist die Apache ACLs Kafka-Eigenschaft allow.everyone.if.no.acl.found=false obligatorisch. Nachdem Sie die Apache Kafka ACLs für Ihren Cluster festgelegt haben, aktualisieren Sie die Cluster-Konfiguration, sodass die Eigenschaft allow.everyone.if.no.acl.found für den Cluster auf Falsch gesetzt wird. Weitere Informationen zum Aktualisieren der Konfiguration eines Clusters finden Sie unter MSKAmazon-Konfigurationsvorgänge.

Kontoübergreifende Cluster-Richtlinienberechtigungen

Wenn sich ein Kafka-Client in einem anderen AWS Konto als dem MSK Cluster befindet, fügen Sie dem Cluster eine clusterbasierte Richtlinie hinzu, die den MSK Client-Root-Benutzer für kontoübergreifende Konnektivität autorisiert. Sie können die VPC Multi-Cluster-Richtlinie mit dem IAM Richtlinien-Editor in der MSK Konsole bearbeiten (Cluster-Sicherheitseinstellungen > Clusterrichtlinie bearbeiten) oder die Clusterrichtlinie wie folgt verwalten: APIs

PutClusterPolicy: Hängt eine Cluster-Richtlinie an den MSK-Cluster an. Sie können dies verwendenAPI, um die angegebene MSK Clusterrichtlinie zu erstellen oder zu aktualisieren. Wenn Sie die Richtlinie aktualisieren, ist das currentVersion Feld in der Payload der Anfrage erforderlich.
GetClusterPolicy: Ruft den JSON Text des Cluster-Richtliniendokuments ab, das an den Cluster angehängt ist.
DeleteClusterPolicy: Löscht die Cluster-Richtlinie.

Im Folgenden finden Sie ein Beispiel JSON für eine grundlegende Clusterrichtlinie, die der im MSK IAM Konsolenrichtlinien-Editor angezeigten ähnelt.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            },
            "Action": [
                "kafka:CreateVpcConnection",
                "kafka:GetBootstrapBrokers",
                "kafka:DescribeCluster",
                "kafka:DescribeClusterV2"
            ],
            "Resource": "arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
        }
    ]
}

Client-Berechtigungen für VPC Multi-Private-Konnektivität zu einem MSK Cluster

Um eine VPC multiprivate Konnektivität zwischen einem Kafka-Client und einem MSK Cluster einzurichten, benötigt der Client eine angehängte Identitätsrichtliniekafka:CreateVpcConnection, die Berechtigungen ec2:CreateTags und ec2:CreateVPCEndpoint Aktionen für den Client gewährt. Als Referenz finden Sie im Folgenden ein Beispiel JSON für eine grundlegende Client-Identitätsrichtlinie.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kafka:CreateVpcConnection",
        "ec2:CreateTags",
        "ec2:CreateVPCEndpoint"
      ],
      "Resource": "*"
    }
  ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Löscht die verwaltete VPC Verbindung

Port-Informationen