Berechtigungen von serviceverknüpften Rollen Erstellen einer serviceverknüpften Rolle Bearbeiten einer serviceverknüpften Rolle Unterstützte Regionen für serviceverknüpfte -Rollen

Verwenden von serviceverknüpften Rollen für Amazon MSK

Amazon MSK verwendet dienstbezogene Rollen AWS Identity and Access Management (IAM). Eine servicebezogene Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Amazon MSK verknüpft ist. Servicebezogene Rollen sind von Amazon vordefiniert MSK und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine serviceverknüpfte Rolle MSK erleichtert die Einrichtung von Amazon, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon MSK definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern nicht anders definiert, MSK kann nur Amazon seine Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Informationen zu anderen Diensten, die serviceverknüpfte Rollen unterstützen, finden Sie unter Amazon Web Services That Work with IAM. Suchen Sie in der Spalte Service-Linked Role nach den Services, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Themen

Berechtigungen von serviceverknüpften Rollen
Erstellen einer serviceverknüpften Rolle
Bearbeiten einer serviceverknüpften Rolle
Unterstützte Regionen für serviceverknüpfte -Rollen

Servicebezogene Rollenberechtigungen für Amazon MSK

Amazon MSK verwendet die mit dem Service verknüpfte Rolle namens AWSServiceRoleForKafka. Amazon MSK verwendet diese Rolle, um auf Ihre Ressourcen zuzugreifen und Operationen wie die folgenden auszuführen:

*NetworkInterface— Erstellung und Verwaltung von Netzwerkschnittstellen im Kundenkonto, über die Cluster-Broker für Kunden des Kunden zugänglich sindVPC.
*VpcEndpoints— Verwaltung von VPC Endpunkten im Kundenkonto, die Cluster-Broker für Kunden zugänglich machen, die sie VPC verwenden AWS PrivateLink. Amazon MSK verwendet Berechtigungen fürDescribeVpcEndpoints, ModifyVpcEndpoint undDeleteVpcEndpoints.
secretsmanager— Kundenanmeldedaten verwalten mit AWS Secrets Manager.
GetCertificateAuthorityCertificate – Das Zertifikat für Ihre private Zertifizierungsstelle abrufen.

Diese verwaltete Richtlinie ist mit der folgenden serviceverknüpften Rolle verbunden: KafkaServiceRolePolicy. Aktualisierungen dieser Richtlinie finden Sie unter KafkaServiceRolePolicy.

Die serviceverknüpfte Rolle AWSServiceRoleForKafka vertraut darauf, dass die folgenden Services die Rolle annehmen:

kafka.amazonaws.com

Die Richtlinie für Rollenberechtigungen ermöglicht es AmazonMSK, die folgenden Aktionen an Ressourcen durchzuführen.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DescribeNetworkInterfaces",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:AttachNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DetachNetworkInterface",
				"ec2:DescribeVpcEndpoints",
				"acm-pca:GetCertificateAuthorityCertificate",
				"secretsmanager:ListSecrets"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:ModifyVpcEndpoint"
			],
			"Resource": "arn:*:ec2:*:*:subnet/*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteVpcEndpoints",
				"ec2:ModifyVpcEndpoint"
			],
			"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/AWSMSKManaged": "true"
				},
				"StringLike": {
					"ec2:ResourceTag/ClusterArn": "*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"secretsmanager:GetResourcePolicy",
				"secretsmanager:PutResourcePolicy",
				"secretsmanager:DeleteResourcePolicy",
				"secretsmanager:DescribeSecret"
			],
			"Resource": "*",
			"Condition": {
				"ArnLike": {
					"secretsmanager:SecretId": "arn:*:secretsmanager:*:*:secret:AmazonMSK_*"
				}
			}
		}
	]
}

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstverknüpfte Rollen im IAMBenutzerhandbuch.

Eine servicebezogene Rolle für Amazon erstellen MSK

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen MSK Amazon-Cluster im AWS Management Console, dem oder dem erstellen AWS CLI, MSK erstellt Amazon die AWS API serviceverknüpfte Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen MSK Amazon-Cluster erstellen, MSK erstellt Amazon die serviceverknüpfte Rolle erneut für Sie.

Bearbeitung einer serviceverknüpften Rolle für Amazon MSK

Amazon MSK erlaubt Ihnen nicht, die AWSServiceRoleForKafka serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer dienstbezogenen Rolle im IAMBenutzerhandbuch.

Unterstützte Regionen für Rollen im MSK Zusammenhang mit Amazon Services

Amazon MSK unterstützt die Verwendung von Rollen im Zusammenhang mit Services in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS -Regionen und Endpunkte.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für identitätsbasierte Richtlinien

AWS verwaltete Richtlinien