Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWSpolitiche gestite per Amazon MSK
Una policy gestita da AWS è una policy autonoma creata e amministrata da AWS. Le policy gestite da AWS sono progettate per fornire autorizzazioni per molti casi d'uso comuni in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Ricorda che le policy gestite da AWS potrebbero non concedere autorizzazioni con privilegi minimi per i tuoi casi d'uso specifici perché possono essere utilizzate da tutti i clienti AWS. Consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle policy gestite da AWS. Se AWS aggiorna le autorizzazioni definite in una policy gestita da AWS, l'aggiornamento riguarda tutte le identità principali (utenti, gruppi e ruoli) a cui è collegata la policy. È molto probabile che AWS aggiorni una policy gestita da AWS quando viene lanciato un nuovo Servizio AWS o nuove operazioni API diventano disponibili per i servizi esistenti.
Per ulteriori informazioni, consultare Policy gestite da AWS nella Guida per l'utente di IAM.
AWSpolitica gestita: AmazonMSKFullAccess
Questa politica concede autorizzazioni amministrative che consentono l'accesso principale completo a tutte le azioni Amazon MSK. Le autorizzazioni in questa politica sono raggruppate come segue:
-
Le autorizzazioni Amazon MSK consentono tutte le azioni Amazon MSK.
-
Alcune delle autorizzazioni Amazon EC2 di questa politica sono necessarie per convalidare le risorse passate in una richiesta API. Questo serve a garantire che Amazon MSK sia in grado di utilizzare correttamente le risorse con un cluster. Il resto delle autorizzazioni Amazon EC2 in questa politica consente ad Amazon MSK di creareAWSrisorse necessarie per consentirti di connetterti ai tuoi cluster.
-
LaAWS KMSle autorizzazioni vengono utilizzate durante le chiamate API per convalidare le risorse passate in una richiesta. Sono necessari affinché Amazon MSK possa utilizzare la chiave passata con il cluster Amazon MSK.
-
LaCloudWatchI log, le autorizzazioni Amazon S3 e Amazon Kinesis Data Firehose sono necessari affinché Amazon MSK possa garantire che le destinazioni di consegna dei log siano raggiungibili e valide per l'uso dei log del broker.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:*", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcAttribute", "kms:DescribeKey", "kms:CreateGrant", "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups", "S3:GetBucketPolicy", "firehose:TagDeliveryStream" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AWSMSKManaged": "true" }, "StringLike": { "aws:RequestTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSMSKManaged": "true" }, "StringLike": { "ec2:ResourceTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*", "Condition": { "StringLike": { "iam:AWSServiceName": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*", "Condition": { "StringLike": { "iam:AWSServiceName": "delivery.logs.amazonaws.com" } } } ] }
AWSpolitica gestita: AmazonMSKReadOnlyAccess
Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni in Amazon MSK. I responsabili cui è allegata questa politica non possono effettuare aggiornamenti o eliminare risorse esistenti, né possono creare nuove risorse Amazon MSK. Ad esempio, gli amministratori con queste autorizzazioni possono visualizzare l'elenco dei cluster e delle configurazioni associati al proprio account, ma non possono modificare la configurazione o le impostazioni di alcun cluster. Le autorizzazioni in questa politica sono raggruppate come segue:
-
Le autorizzazioni Amazon MSK ti consentono di elencare le risorse Amazon MSK, descriverle e ottenere informazioni su di esse.
-
Le autorizzazioni Amazon EC2 vengono utilizzate per descrivere Amazon VPC, sottoreti, gruppi di sicurezza ed ENI associati a un cluster.
-
LaAWS KMSl'autorizzazione viene utilizzata per descrivere la chiave associata al cluster.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kafka:Describe*", "kafka:List*", "kafka:Get*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
AWSPolicy gestita: KafkaServiceRolePolicy
Non è possibile collegare KafkaServiceRolePolicy alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente ad Amazon MSK di eseguire azioni come la gestione degli endpoint (connettori) VPC sui cluster MSK, la gestione delle interfacce di rete e la gestione delle credenziali del cluster conAWS Secrets Manager. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Amazon MSK.
Amazon MSK si aggiorna aAWSpolitiche gestite
Visualizza i dettagli sugli aggiornamenti diAWSpolitiche gestite per Amazon MSK da quando questo servizio ha iniziato a tracciare queste modifiche.
| Modifica | Descrizione | Data |
|---|---|---|
| KafkaServiceRolePolicy: aggiornamento a una policy esistente |
Amazon MSK ha aggiunto le autorizzazioni per supportare la connettività privata multi-VPC. |
8 marzo 2023 |
| Amazon MSKFullAccess— Aggiornamento a una politica esistente |
Amazon MSK ha aggiunto nuove autorizzazioni Amazon EC2 per rendere possibile la connessione a un cluster. |
30 novembre 2021 |
|
Amazon MSKFullAccess— Aggiornamento a una politica esistente |
Amazon MSK ha aggiunto una nuova autorizzazione per consentirle di descrivere le tabelle di route di Amazon EC2. |
19 novembre 2021 |
|
Amazon MSK ha iniziato a monitorare le modifiche |
Amazon MSK ha iniziato a tenere traccia delle modifiche relative alAWSpolitiche gestite. |
19 novembre 2021 |
