Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk Amazon MSK
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat AWS kebijakan yang dikelola dalam Panduan Pengguna IAM.
AWS kebijakan terkelola: AmazonMSK FullAccess
Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan MSK Amazon. Izin dalam kebijakan ini dikelompokkan sebagai berikut:
-
Izin MSK Amazon memungkinkan semua tindakan MSK Amazon.
-
Amazon EC2izin — dalam kebijakan ini diperlukan untuk memvalidasi sumber daya yang diteruskan dalam permintaan API. Ini untuk memastikan Amazon MSK dapat berhasil menggunakan sumber daya dengan cluster. Izin Amazon EC2 lainnya dalam kebijakan ini memungkinkan Amazon MSK membuat AWS sumber daya yang diperlukan untuk memungkinkan Anda terhubung ke cluster Anda. -
AWS KMSizin - digunakan selama panggilan API untuk memvalidasi sumber daya yang diteruskan dalam permintaan. Mereka diperlukan untuk Amazon MSK untuk dapat menggunakan kunci yang diteruskan dengan cluster MSK Amazon. -
CloudWatch Logs, Amazon S3, and Amazon Data Firehoseizin - diperlukan untuk Amazon MSK untuk dapat memastikan bahwa tujuan pengiriman log dapat dijangkau, dan valid untuk penggunaan log broker. IAMizin - diperlukan agar Amazon MSK dapat membuat peran terkait layanan di akun Anda dan memungkinkan Anda meneruskan peran eksekusi layanan ke Amazon MSK.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "kafka:*", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcAttribute", "kms:DescribeKey", "kms:CreateGrant", "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups", "S3:GetBucketPolicy", "firehose:TagDeliveryStream" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AWSMSKManaged": "true" }, "StringLike": { "aws:RequestTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSMSKManaged": "true" }, "StringLike": { "ec2:ResourceTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*", "Condition": { "StringLike": { "iam:AWSServiceName": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*", "Condition": { "StringLike": { "iam:AWSServiceName": "delivery.logs.amazonaws.com" } } } ] }
AWS kebijakan terkelola: Akses ReadOnly AmazonMSK
Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat informasi di Amazon MSK. Prinsipal dengan kebijakan ini terlampir tidak dapat membuat pembaruan atau menghapus sumber daya yang keluar, juga tidak dapat membuat sumber daya MSK Amazon baru. Misalnya, prinsipal dengan izin ini dapat melihat daftar cluster dan konfigurasi yang terkait dengan akun mereka, tetapi tidak dapat mengubah konfigurasi atau pengaturan cluster apa pun. Izin dalam kebijakan ini dikelompokkan sebagai berikut:
-
Amazon MSKizin - memungkinkan Anda mencantumkan sumber daya MSK Amazon, menjelaskannya, dan mendapatkan informasi tentangnya. -
Amazon EC2izin - digunakan untuk menggambarkan VPC Amazon, subnet, grup keamanan, dan ENI yang terkait dengan kluster. -
AWS KMSizin — digunakan untuk menggambarkan kunci yang terkait dengan cluster.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kafka:Describe*", "kafka:List*", "kafka:Get*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
AWS kebijakan terkelola: KafkaServiceRolePolicy
Anda tidak dapat melampirkan KafkaServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memungkinkan Amazon MSK melakukan tindakan seperti mengelola titik akhir (konektor) VPC pada kluster MSK, mengelola antarmuka jaringan, dan mengelola kredensyal klaster. AWS Secrets Manager Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon MSK.
AWS kebijakan terkelola: AWSMSKReplicatorExecutionRole
AWSMSKReplicatorExecutionRoleKebijakan ini memberikan izin kepada replikator MSK Amazon untuk mereplikasi data antar kluster MSK. Izin dalam kebijakan ini dikelompokkan sebagai berikut:
-
cluster— Memberikan izin Amazon MSK Replicator untuk terhubung ke cluster menggunakan otentikasi IAM. Juga memberikan izin untuk mendeskripsikan dan mengubah cluster. -
topic— Memberikan izin Amazon MSK Replicator untuk mendeskripsikan, membuat, dan mengubah topik, dan untuk mengubah konfigurasi dinamis topik. -
consumer group— Memberikan izin Amazon MSK Replicator untuk mendeskripsikan dan mengubah grup konsumen, membaca dan menulis tanggal dari kluster MSK, dan untuk menghapus topik internal yang dibuat oleh replikator.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ClusterPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:WriteDataIdempotently" ], "Resource": [ "arn:aws:kafka:*:*:cluster/*" ] }, { "Sid": "TopicPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:AlterCluster" ], "Resource": [ "arn:aws:kafka:*:*:topic/*/*" ] }, { "Sid": "GroupPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:*:*:group/*/*" ] } ] }
Amazon MSK memperbarui kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon MSK sejak layanan ini mulai melacak perubahan ini.
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
| WriteDataIdempotently izin ditambahkan ke AWSMSKReplicatorExecutionRole - Perbarui ke kebijakan yang ada |
Amazon MSK menambahkan WriteDataIdempotently izin ke AWSMSKReplicatorExecutionRole kebijakan untuk mendukung replikasi data antara kluster MSK. |
Maret 12, 2024 |
| AWSMSKReplicatorExecutionRole – Kebijakan baru |
Amazon MSK menambahkan AWSMSKReplicatorExecutionRole kebijakan untuk mendukung Amazon MSK Replicator. |
Desember 4, 2023 |
| AmazonMSK FullAccess - Update ke kebijakan yang ada |
Amazon MSK menambahkan izin untuk mendukung Amazon MSK Replicator. |
28 September 2023 |
| KafkaServiceRolePolicy – Pembaruan ke kebijakan yang ada |
Amazon MSK menambahkan izin untuk mendukung konektivitas pribadi multi-VPC. |
8 Maret 2023 |
| AmazonMSK FullAccess - Update ke kebijakan yang ada |
Amazon MSK menambahkan izin Amazon EC2 baru untuk memungkinkan terhubung ke cluster. |
30 November 2021 |
|
AmazonMSK FullAccess - Update ke kebijakan yang ada |
Amazon MSK menambahkan izin baru untuk memungkinkannya menggambarkan tabel rute Amazon EC2. |
November 19, 2021 |
|
Amazon MSK mulai melacak perubahan |
Amazon MSK mulai melacak perubahan untuk kebijakan yang AWS dikelola. |
November 19, 2021 |
