Administrar el acceso y los permisos de un clúster Amazon MSK - AWS Lambda

Administrar el acceso y los permisos de un clúster Amazon MSK

Lambda sondea las particiones del tema de Apache Kafka en busca de nuevos registros e invoca la función Lambda de forma sincrónica. Para actualizar otros recursos de AWS que utiliza el clúster, la función Lambda, así como los usuarios y roles de AWS Identity and Access Management (IAM), deben tener permiso para realizar estas acciones.

En esta página se describe cómo conceder permisos a Lambda y a otros usuarios de su clúster Amazon MSK.

Permisos Lambda de función necesarios

Para leer registros de su clúster Amazon MSK en su nombre, las Lambda funciones rol de ejecución deben tener permiso. Puede agregar la directiva AWS administrada AWSLambdaMSKExecutionRole a su rol de ejecución o crear una directiva personalizada con permiso para realizar las siguientes acciones:

Agregar una directiva a su rol de ejecución

Siga estos pasos para agregar la directiva AWS administrada AWSLambdaMSKExecutionRole a su rol de ejecución mediante la consola IAM.

Para agregar una directiva AWS administrada

  1. Abra la página Directivas de la consola IAM.

  2. En el cuadro de búsqueda, escriba el nombre de la directiva (AWSLambdaMSKExecutionRole).

  3. Seleccione la directiva de la lista y, a continuación, elija Acciones de directiva, Adjuntar.

  4. Seleccione su rol de ejecución en la lista y, a continuación, elija Adjuntar directiva.

Conceder acceso a los usuarios con una directiva IAM

De forma predeterminada, los usuarios IAM y las funciones no tienen permiso para realizar operaciones de Amazon MSK API. Para conceder acceso a los usuarios de su organización o cuenta, es posible que necesite una directiva basada en la identidad. Para obtener más información, consulte Ejemplos de directivasAmazon Managed Streaming para Apache Kafka basadas en identidades en Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka.

Uso de la autenticación SASL/SCRAM

Amazon MSK admite autenticación simple y autenticación de capa de seguridad/mecanismo de autenticación de respuesta por desafío saltado (SASL/SCRAM). Puede controlar el acceso a los Amazon MSK clústeres configurando la autenticación de nombre de usuario y contraseña mediante un AWS Secrets Manager secreto. Para obtener más información, consulte Uso de autenticación de nombre de usuario y contraseña con AWS Secrets Manager en Guía para desarrolladores de Amazon Managed Streaming para Apache Kafka.