Utilisation de rôles liés à un service pour Amazon MSK - Amazon Managed Streaming for Apache Kafka
Autorisations de rôles liés à un serviceCréation d'un rôle lié à un serviceModification d'un rôle lié à un serviceRégions prises en charge pour les rôles liés à un service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles liés à un service pour Amazon MSK

Amazon MSK utilise AWS Identity and Access Management (IAM) rôles liés aux services. Un rôle lié à un service est un type unique de IAM rôle directement lié à Amazon. MSK Les rôles liés au service sont prédéfinis par Amazon MSK et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

Un rôle lié à un service facilite la configuration d'AmazonMSK, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon MSK définit les autorisations associées à ses rôles liés aux services. Sauf indication contraire, seul Amazon MSK peut assumer ses rôles. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre IAM entité.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez Amazon Web Services That Work with IAM, et recherchez les services dont la valeur est Oui dans la colonne Rôle lié au service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.

Autorisations de rôle liées à un service pour Amazon MSK

Amazon MSK utilise le rôle lié à un service nommé AWSServiceRoleForKafka. Amazon MSK utilise ce rôle pour accéder à vos ressources et effectuer des opérations telles que :

  • *NetworkInterface— créer et gérer des interfaces réseau dans le compte client qui rendent les courtiers en cluster accessibles aux clients du clientVPC.

  • *VpcEndpoints— gérez les VPC points de terminaison du compte client qui rendent les courtiers du cluster accessibles aux clients en utilisant VPC AWS PrivateLink. Amazon MSK utilise des autorisations pourDescribeVpcEndpoints, ModifyVpcEndpoint etDeleteVpcEndpoints.

  • secretsmanager— gérez les informations d'identification des clients avec AWS Secrets Manager.

  • GetCertificateAuthorityCertificate - récupérer le certificat pour votre autorité de certification privée.

Ce rôle lié à un service est attaché à la politique gérée suivante : KafkaServiceRolePolicy. Pour les mises à jour de cette politique, consultez KafkaServiceRolePolicy.

Le AWSServiceRoleForKafka un rôle lié à un service fait confiance aux services suivants pour assumer le rôle :

  • kafka.amazonaws.com

La politique d'autorisation des rôles permet MSK à Amazon d'effectuer les actions suivantes sur les ressources.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DescribeNetworkInterfaces",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:AttachNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DetachNetworkInterface",
				"ec2:DescribeVpcEndpoints",
				"acm-pca:GetCertificateAuthorityCertificate",
				"secretsmanager:ListSecrets"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:ModifyVpcEndpoint"
			],
			"Resource": "arn:*:ec2:*:*:subnet/*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteVpcEndpoints",
				"ec2:ModifyVpcEndpoint"
			],
			"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/AWSMSKManaged": "true"
				},
				"StringLike": {
					"ec2:ResourceTag/ClusterArn": "*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"secretsmanager:GetResourcePolicy",
				"secretsmanager:PutResourcePolicy",
				"secretsmanager:DeleteResourcePolicy",
				"secretsmanager:DescribeSecret"
			],
			"Resource": "*",
			"Condition": {
				"ArnLike": {
					"secretsmanager:SecretId": "arn:*:secretsmanager:*:*:secret:AmazonMSK_*"
				}
			}
		}
	]
}

Vous devez configurer les autorisations pour autoriser une IAM entité (telle qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le guide de l'IAMutilisateur.

Création d'un rôle lié à un service pour Amazon MSK

Vous n'avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un MSK cluster Amazon dans le AWS Management Console, le AWS CLI, ou le AWS API, Amazon MSK crée pour vous le rôle lié au service.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un MSK cluster Amazon, Amazon MSK crée à nouveau le rôle lié au service pour vous.

Modifier un rôle lié à un service pour Amazon MSK

Amazon MSK ne vous autorise pas à modifier le AWSServiceRoleForKafka rôle lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le guide de l'IAMutilisateur.

Régions prises en charge pour les rôles MSK liés aux services Amazon

Amazon MSK prend en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez .AWS Régions et points de terminaison.