Permisos de roles vinculados a servicios Crear un rol vinculado a servicios Editar un rol vinculado a un servicio Regiones admitidas para los roles vinculados a servicios de

Uso de roles vinculados a servicios para Amazon MSK

Amazon MSK utiliza funciones vinculadas a servicios AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon MSK. Amazon MSK predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

Un rol vinculado a servicios simplifica la configuración de Amazon MSK porque ya no tendrá que agregar de forma manual los permisos necesarios. Amazon MSK define los permisos de sus roles vinculados a servicios. A menos que se defina lo contrario, solo Amazon MSK puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de Amazon Web Services que funcionan con IAM y busque los servicios que tengan Sí en la columna Roles vinculados a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Temas

Permisos de roles vinculados a servicios
Crear un rol vinculado a servicios
Editar un rol vinculado a un servicio
Regiones admitidas para los roles vinculados a servicios de

Permisos de roles vinculados a servicios para Amazon MSK

Amazon MSK usa el rol vinculado a servicios denominado AWSServiceRoleForKafka. Amazon MSK utiliza esta función para acceder a sus recursos y realizar operaciones como las siguientes:

*NetworkInterface: cree y administre interfaces de red en la cuenta del cliente que hagan que los clientes de la VPC del cliente puedan acceder a los agentes de clústeres.
*VpcEndpoints— administre los puntos finales de la VPC en la cuenta del cliente para que los agentes de clústeres sean accesibles a los clientes de la VPC del cliente que utilizan. AWS PrivateLink Amazon MSK usa permisos para DescribeVpcEndpoints, ModifyVpcEndpoint y DeleteVpcEndpoints.
secretsmanager— gestione las credenciales de los clientes con. AWS Secrets Manager
GetCertificateAuthorityCertificate: recupere el certificado para su autoridad de certificación privada.

Este rol vinculado a un servicio se adjunta a la siguiente política administrada: KafkaServiceRolePolicy. Para ver las actualizaciones de esta política, consulte KafkaServiceRolePolicy.

El rol vinculado al servicio AWSServiceRoleForKafka depende de los siguientes servicios para asumir el rol:

kafka.amazonaws.com

La política de permisos del rol permite que Amazon MSK realice las siguientes acciones en los recursos.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DescribeNetworkInterfaces",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:AttachNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DetachNetworkInterface",
				"ec2:DescribeVpcEndpoints",
				"acm-pca:GetCertificateAuthorityCertificate",
				"secretsmanager:ListSecrets"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:ModifyVpcEndpoint"
			],
			"Resource": "arn:*:ec2:*:*:subnet/*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteVpcEndpoints",
				"ec2:ModifyVpcEndpoint"
			],
			"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/AWSMSKManaged": "true"
				},
				"StringLike": {
					"ec2:ResourceTag/ClusterArn": "*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"secretsmanager:GetResourcePolicy",
				"secretsmanager:PutResourcePolicy",
				"secretsmanager:DeleteResourcePolicy",
				"secretsmanager:DescribeSecret"
			],
			"Resource": "*",
			"Condition": {
				"ArnLike": {
					"secretsmanager:SecretId": "arn:*:secretsmanager:*:*:secret:AmazonMSK_*"
				}
			}
		}
	]
}

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a servicios para Amazon MSK

No necesita crear manualmente un rol vinculado a un servicio. Cuando crea un clúster de Amazon MSK en la AWS Management Console, la o la AWS API AWS CLI, Amazon MSK crea el rol vinculado al servicio por usted.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un clúster de Amazon MSK, Amazon MSK se encarga de crear de nuevo el rol vinculado a servicios en su nombre.

Edición de un rol vinculado a servicios para Amazon MSK

Amazon MSK no permite editar el rol vinculado a servicios de AWSServiceRoleForKafka. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM..

Regiones admitidas para los roles vinculados a servicios de Amazon MSK

Amazon MSK admite el uso de roles vinculados a servicios en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Regiones y puntos de conexión de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en identidades

AWS políticas gestionadas