Autorizzazioni del ruolo collegato ai servizi Creazione di un ruolo collegato ai servizi Modificare un ruolo collegato ai servizi Regioni supportate per i ruoli collegati ai servizi

Utilizzo di ruoli collegati ai servizi per Amazon MSK

Amazon MSK utilizza AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato al servizio è un tipo unico di IAM ruolo collegato direttamente ad Amazon. MSK I ruoli collegati ai servizi sono predefiniti da Amazon MSK e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.

Un ruolo collegato al servizio semplifica la configurazione di Amazon MSK perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon MSK definisce le autorizzazioni dei suoi ruoli collegati ai servizi. Salvo diversa indicazione, solo Amazon MSK può assumere i suoi ruoli. Le autorizzazioni definite includono la politica di fiducia e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM

Per informazioni su altri servizi che supportano ruoli collegati ai servizi, consulta Amazon Web Services That Work with IAM e cerca i servizi con Sì nella colonna Service-Linked Role. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Argomenti

Autorizzazioni del ruolo collegato ai servizi
Creazione di un ruolo collegato ai servizi
Modificare un ruolo collegato ai servizi
Regioni supportate per i ruoli collegati ai servizi

Autorizzazioni di ruolo collegate ai servizi per Amazon MSK

Amazon MSK utilizza il ruolo collegato al servizio denominato AWSServiceRoleForKafka. Amazon MSK utilizza questo ruolo per accedere alle tue risorse ed eseguire operazioni come:

*NetworkInterface— creare e gestire interfacce di rete nell'account cliente che rendano i broker del cluster accessibili ai clienti del cliente. VPC
*VpcEndpoints— gestisci gli VPC endpoint nell'account cliente che rendono i broker del cluster accessibili ai clienti del cliente utilizzando VPC AWS PrivateLink. Amazon MSK utilizza le autorizzazioni perDescribeVpcEndpoints, ModifyVpcEndpoint eDeleteVpcEndpoints.
secretsmanager— gestisci le credenziali dei clienti con AWS Secrets Manager.
GetCertificateAuthorityCertificate: recupera il certificato per la tua autorità di certificazione privata.

Questo ruolo collegato ai servizi è collegato alle seguenti policy gestite: KafkaServiceRolePolicy. Per gli aggiornamenti a questa politica, vedere KafkaServiceRolePolicy.

Il AWSServiceRoleForKafka il ruolo collegato al servizio prevede che i seguenti servizi assumano il ruolo:

kafka.amazonaws.com

La politica di autorizzazione dei ruoli consente MSK ad Amazon di completare le seguenti azioni sulle risorse.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DescribeNetworkInterfaces",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:AttachNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DetachNetworkInterface",
				"ec2:DescribeVpcEndpoints",
				"acm-pca:GetCertificateAuthorityCertificate",
				"secretsmanager:ListSecrets"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:ModifyVpcEndpoint"
			],
			"Resource": "arn:*:ec2:*:*:subnet/*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteVpcEndpoints",
				"ec2:ModifyVpcEndpoint"
			],
			"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/AWSMSKManaged": "true"
				},
				"StringLike": {
					"ec2:ResourceTag/ClusterArn": "*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"secretsmanager:GetResourcePolicy",
				"secretsmanager:PutResourcePolicy",
				"secretsmanager:DeleteResourcePolicy",
				"secretsmanager:DescribeSecret"
			],
			"Resource": "*",
			"Condition": {
				"ArnLike": {
					"secretsmanager:SecretId": "arn:*:secretsmanager:*:*:secret:AmazonMSK_*"
				}
			}
		}
	]
}

È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta la sezione Autorizzazioni relative ai ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione di un ruolo collegato ai servizi per Amazon MSK

Non è necessario creare manualmente un ruolo collegato ai servizi. Quando crei un MSK cluster Amazon nel AWS Management Console, il AWS CLI, o AWS API, Amazon MSK crea per te il ruolo collegato ai servizi.

Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei un MSK cluster Amazon, Amazon MSK crea nuovamente il ruolo collegato ai servizi per te.

Modifica di un ruolo collegato ai servizi per Amazon MSK

Amazon MSK non ti consente di modificare il AWSServiceRoleForKafka ruolo collegato al servizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. Tuttavia, è possibile modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'IAMutente.

Regioni supportate per i ruoli collegati MSK ai servizi Amazon

Amazon MSK supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta AWS Regioni ed endpoint.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy basate su identità

AWS policy gestite