AWS politiche gestite per Amazon MSK - Amazon Managed Streaming per Apache Kafka
Un mazonMSKFull accessoA mazonMSKRead OnlyAccessKafkaServiceRolePolicyAWSMSKReplicatorExecutionRoleAggiornamenti alle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per Amazon MSK

Un record AWS la politica gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che AWS le politiche gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i casi d'uso specifici perché sono disponibili per tutti AWS clienti da utilizzare. Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite in AWS politiche gestite. Se AWS aggiorna le autorizzazioni definite in un AWS politica gestita, l'aggiornamento riguarda tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni un AWS politica gestita quando è nuova Servizio AWS viene avviata o nuove API operazioni diventano disponibili per i servizi esistenti.

Per ulteriori informazioni, consulta AWS politiche gestite nella Guida IAM per l'utente.

AWS politica gestita: A mazonMSKFull Access

Questa politica concede autorizzazioni amministrative che consentono l'accesso completo principale a tutte le azioni di AmazonMSK. Le autorizzazioni in questa policy sono raggruppate come segue:

  • Le MSK autorizzazioni Amazon consentono tutte le MSK azioni Amazon.

  • Amazon EC2autorizzazioni: in questa politica sono necessarie per convalidare le risorse passate in una richiesta. API Questo serve a garantire che Amazon MSK sia in grado di utilizzare correttamente le risorse con un cluster. Le altre EC2 autorizzazioni Amazon incluse in questa politica consentono MSK ad Amazon di creare AWS risorse necessarie per consentirti di connetterti ai tuoi cluster.

  • AWS KMSautorizzazioni: vengono utilizzate durante le API chiamate per convalidare le risorse passate in una richiesta. Sono necessari per consentire MSK ad Amazon di utilizzare la chiave passata con il MSK cluster Amazon.

  • CloudWatch Logs, Amazon S3, and Amazon Data Firehoseautorizzazioni: sono necessarie per consentire MSK ad Amazon di garantire che le destinazioni di consegna dei log siano raggiungibili e che siano valide per l'utilizzo dei log da parte dei broker.

  • IAMautorizzazioni: sono necessarie per consentire MSK ad Amazon di creare un ruolo collegato al servizio nel tuo account e per consentirti di passare un ruolo di esecuzione del servizio ad Amazon. MSK

    {
    	"Version": "2012-10-17",
    	"Statement": [{
    			"Effect": "Allow",
    			"Action": [
    				"kafka:*",
    				"ec2:DescribeSubnets",
    				"ec2:DescribeVpcs",
    				"ec2:DescribeSecurityGroups",
    				"ec2:DescribeRouteTables",
    				"ec2:DescribeVpcEndpoints",
    				"ec2:DescribeVpcAttribute",
    				"kms:DescribeKey",
    				"kms:CreateGrant",
    				"logs:CreateLogDelivery",
    				"logs:GetLogDelivery",
    				"logs:UpdateLogDelivery",
    				"logs:DeleteLogDelivery",
    				"logs:ListLogDeliveries",
    				"logs:PutResourcePolicy",
    				"logs:DescribeResourcePolicies",
    				"logs:DescribeLogGroups",
    				"S3:GetBucketPolicy",
    				"firehose:TagDeliveryStream"
    			],
    			"Resource": "*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:CreateVpcEndpoint"
    			],
    			"Resource": [
    				"arn:*:ec2:*:*:vpc/*",
    				"arn:*:ec2:*:*:subnet/*",
    				"arn:*:ec2:*:*:security-group/*"
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:CreateVpcEndpoint"
    			],
    			"Resource": [
    				"arn:*:ec2:*:*:vpc-endpoint/*"
    			],
    			"Condition": {
    				"StringEquals": {
    					"aws:RequestTag/AWSMSKManaged": "true"
    				},
    				"StringLike": {
    					"aws:RequestTag/ClusterArn": "*"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:CreateTags"
    			],
    			"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
    			"Condition": {
    				"StringEquals": {
    					"ec2:CreateAction": "CreateVpcEndpoint"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:DeleteVpcEndpoints"
    			],
    			"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
    			"Condition": {
    				"StringEquals": {
    					"ec2:ResourceTag/AWSMSKManaged": "true"
    				},
    				"StringLike": {
    					"ec2:ResourceTag/ClusterArn": "*"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": "iam:PassRole",
    			"Resource": "*",
    			"Condition": {
    				"StringEquals": {
    					"iam:PassedToService": "kafka.amazonaws.com"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": "iam:CreateServiceLinkedRole",
    			"Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*",
    			"Condition": {
    				"StringLike": {
    					"iam:AWSServiceName": "kafka.amazonaws.com"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"iam:AttachRolePolicy",
    				"iam:PutRolePolicy"
    			],
    			"Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": "iam:CreateServiceLinkedRole",
    			"Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*",
    			"Condition": {
    				"StringLike": {
    					"iam:AWSServiceName": "delivery.logs.amazonaws.com"
    				}
    			}
    		}

    	]
    }

AWS politica gestita: A mazonMSKRead OnlyAccess

Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni in Amazon. MSK I responsabili a cui è allegata questa politica non possono effettuare aggiornamenti o eliminare risorse esistenti, né possono creare nuove risorse AmazonMSK. Ad esempio, i principali con queste autorizzazioni possono visualizzare l'elenco dei cluster e delle configurazioni associati al proprio account, ma non possono modificare la configurazione o le impostazioni di alcun cluster. Le autorizzazioni in questa policy sono raggruppate come segue:

  • Amazon MSKautorizzazioni: ti consentono di elencare MSK le risorse Amazon, descriverle e ottenere informazioni su di esse.

  • Amazon EC2autorizzazioni: vengono utilizzate per descrivere AmazonVPC, le sottoreti, i gruppi di sicurezza e ENIs che sono associati a un cluster.

  • AWS KMSautorizzazione: viene utilizzata per descrivere la chiave associata al cluster.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "kafka:Describe*",
                "kafka:List*",
                "kafka:Get*",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "kms:DescribeKey"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS politica gestita: KafkaServiceRolePolicy

Non puoi collegarti KafkaServiceRolePolicy alle tue IAM entità. Questa policy è associata a un ruolo collegato al servizio che consente MSK ad Amazon di eseguire azioni come la gestione degli VPC endpoint (connettori) sui MSK cluster, la gestione delle interfacce di rete e la gestione delle credenziali del cluster con AWS Secrets Manager. Per ulteriori informazioni, vedereUtilizzo di ruoli collegati ai servizi per Amazon MSK.

AWS politica gestita: AWSMSKReplicatorExecutionRole

La AWSMSKReplicatorExecutionRole policy concede le autorizzazioni al MSK replicatore Amazon per replicare i dati tra i cluster. MSK Le autorizzazioni in questa policy sono raggruppate come segue:

  • cluster— Concede ad Amazon MSK Replicator le autorizzazioni per connettersi al cluster utilizzando l'autenticazione. IAM Concede inoltre le autorizzazioni per descrivere e modificare il cluster.

  • topic— Concede ad Amazon MSK Replicator le autorizzazioni per descrivere, creare e modificare un argomento e per alterare la configurazione dinamica dell'argomento.

  • consumer group— Concede ad Amazon MSK Replicator le autorizzazioni per descrivere e modificare gruppi di consumatori, leggere e scrivere dati da un MSK cluster e eliminare argomenti interni creati dal replicatore.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "ClusterPermissions",
			"Effect": "Allow",
			"Action": [
				"kafka-cluster:Connect",
				"kafka-cluster:DescribeCluster",
				"kafka-cluster:AlterCluster",
				"kafka-cluster:DescribeTopic",
				"kafka-cluster:CreateTopic",
				"kafka-cluster:AlterTopic",
				"kafka-cluster:WriteData",
				"kafka-cluster:ReadData",
				"kafka-cluster:AlterGroup",
				"kafka-cluster:DescribeGroup",
				"kafka-cluster:DescribeTopicDynamicConfiguration",
				"kafka-cluster:AlterTopicDynamicConfiguration",
				"kafka-cluster:WriteDataIdempotently"
			],
			"Resource": [
				"arn:aws:kafka:*:*:cluster/*"
			]
		},
		{
			"Sid": "TopicPermissions",
			"Effect": "Allow",
			"Action": [
				"kafka-cluster:DescribeTopic",
				"kafka-cluster:CreateTopic",
				"kafka-cluster:AlterTopic",
				"kafka-cluster:WriteData",
				"kafka-cluster:ReadData",
				"kafka-cluster:DescribeTopicDynamicConfiguration",
				"kafka-cluster:AlterTopicDynamicConfiguration",
				"kafka-cluster:AlterCluster"
			],
			"Resource": [
				"arn:aws:kafka:*:*:topic/*/*"
			]
		},
		{
			"Sid": "GroupPermissions",
			"Effect": "Allow",
			"Action": [
				"kafka-cluster:AlterGroup",
				"kafka-cluster:DescribeGroup"
			],
			"Resource": [
				"arn:aws:kafka:*:*:group/*/*"
			]
		}
	]
}

Amazon si MSK aggiorna a AWS policy gestite

Visualizza i dettagli sugli aggiornamenti di AWS politiche gestite per Amazon MSK da quando questo servizio ha iniziato a tracciare queste modifiche.

Modifica Descrizione Data
WriteDataIdempotently autorizzazione aggiunta a AWSMSKReplicatorExecutionRole: aggiornamento a una politica esistente

Amazon MSK ha aggiunto WriteDataIdempotently l'autorizzazione alla AWSMSKReplicatorExecutionRole policy per supportare la replica dei dati tra MSK cluster.

 12 marzo 2024
AWSMSKReplicatorExecutionRole: nuova policy

Amazon MSK ha aggiunto AWSMSKReplicatorExecutionRole una policy per supportare Amazon MSK Replicator.

 4 dicembre 2023
A mazonMSKFull Access: aggiornamento di una policy esistente

Amazon MSK ha aggiunto le autorizzazioni per supportare Amazon MSK Replicator.

 28 settembre 2023
KafkaServiceRolePolicy: aggiornamento a una policy esistente

Amazon MSK ha aggiunto le autorizzazioni per supportare la connettività VPC multiprivata.

 8 marzo 2023
A mazonMSKFull Access: aggiornamento di una politica esistente

Amazon MSK ha aggiunto nuove EC2 autorizzazioni Amazon per consentire la connessione a un cluster.

 30 novembre 2021

A mazonMSKFull Access: aggiornamento a una politica esistente

Amazon MSK ha aggiunto una nuova autorizzazione per consentirgli di descrivere le tabelle di EC2 routing di Amazon.

 19 novembre 2021

Amazon MSK ha iniziato a tracciare le modifiche

Amazon MSK ha iniziato a tracciare le modifiche per il suo AWS politiche gestite.

 19 novembre 2021