翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon MSK の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しい API AWS オペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。
AWS マネージドポリシー: AmazonMSKFullAccess
このポリシーは、プリンシパルにすべての Amazon MSK アクションへのフルアクセスを許可する管理者権限を付与します。このポリシーの権限は、次のようにグループ化されています。
-
Amazon MSK 権限は、すべての Amazon MSK アクションを許可します。
-
アクセス
Amazon EC2許可 – このポリシーでは、API リクエストで渡されたリソースを検証するために必要です。これは、Amazon MSK がクラスターでリソースを正常に使用できるようにするためです。このポリシーの残りの Amazon EC2 アクセス許可により、Amazon MSK はクラスターへの接続を可能にするために必要な AWS リソースを作成できます。 -
アクセス
AWS KMS許可 – リクエストで渡されたリソースを検証するために API コール中に使用されます。これらは、Amazon MSK が、渡されたキーを Amazon MSK クラスターで使用できるようにするために必要です。 -
アクセス
CloudWatch Logs, Amazon S3, and Amazon Data Firehose許可 – Amazon MSK がログ配信先に到達可能であり、ブローカーログの使用に有効であることを確認するために必要です。 アクセス
IAM許可 — Amazon MSK がアカウントでサービスにリンクされたロールを作成でき、Amazon MSK にサービス実行ロールを渡すことができるようにするには、 が必要です。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "kafka:*", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcAttribute", "kms:DescribeKey", "kms:CreateGrant", "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups", "S3:GetBucketPolicy", "firehose:TagDeliveryStream" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AWSMSKManaged": "true" }, "StringLike": { "aws:RequestTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSMSKManaged": "true" }, "StringLike": { "ec2:ResourceTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*", "Condition": { "StringLike": { "iam:AWSServiceName": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*", "Condition": { "StringLike": { "iam:AWSServiceName": "delivery.logs.amazonaws.com" } } } ] }
AWS マネージドポリシー: AmazonMSKReadOnly アクセス
このポリシーは、ユーザーが Amazon MSK で情報を表示できるようにする読み取り専用の権限を付与します。このポリシーが添付されているプリンシパルは、既存のリソースを更新または削除したり、新しい Amazon MSK リソースを作成したりすることはできません。例えば、これらの権限を持つプリンシパルは、自分のアカウントに関連付けられているクラスターと構成のリストを表示できますが、クラスターの構成や設定を変更することはできません。このポリシーの権限は、次のようにグループ化されています。
-
アクセス
Amazon MSK許可 — Amazon MSK リソースを一覧表示し、説明し、それらの情報を取得できます。 -
アクセス
Amazon EC2許可 – クラスターに関連付けられている Amazon VPC、サブネット、セキュリティグループ、および ENIs を記述するために使用されます。 -
アクセス
AWS KMS許可 — クラスターに関連付けられているキーを記述するために使用されます。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kafka:Describe*", "kafka:List*", "kafka:Get*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
AWS マネージドポリシー: KafkaServiceRolePolicy
IAM エンティティ KafkaServiceRolePolicy に をアタッチすることはできません。このポリシーは、Amazon MSK が MSK クラスター上の VPC エンドポイント (コネクタ) の管理、ネットワークインターフェイスの管理、 AWS Secrets Managerを使用したクラスター認証情報の管理などのアクションを実行できるようにする、サービスリンクロールにアタッチされています。詳細については、「Amazon MSK のサービスリンクロールの使用」を参照してください。
AWS 管理ポリシー: AWSMSKReplicatorExecutionRole
このAWSMSKReplicatorExecutionRoleポリシーは、MSK クラスター間でデータをレプリケートするためのアクセス許可を Amazon MSK レプリケーターに付与します。このポリシーの権限は、次のようにグループ化されています。
-
cluster– IAM 認証を使用してクラスターに接続するアクセス許可を Amazon MSK レプリケーターに付与します。また、クラスターを記述および変更するアクセス許可も付与します。 -
topic– トピックを記述、作成、変更し、トピックの動的設定を変更するアクセス許可を Amazon MSK レプリケーターに付与します。 -
consumer group— Amazon MSK レプリケーターに、コンシューマーグループの説明と変更、MSK クラスターからの読み取りと書き込みの日付、レプリケーターによって作成された内部トピックの削除を行うアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ClusterPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:WriteDataIdempotently" ], "Resource": [ "arn:aws:kafka:*:*:cluster/*" ] }, { "Sid": "TopicPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:AlterCluster" ], "Resource": [ "arn:aws:kafka:*:*:topic/*/*" ] }, { "Sid": "GroupPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:*:*:group/*/*" ] } ] }
AWS マネージドポリシーに対する Amazon MSK の更新
Amazon MSK の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。
| 変更 | 説明 | 日付 |
|---|---|---|
| アクセスWriteDataIdempotently 許可が に追加 AWSMSKReplicatorExecutionRole – 既存のポリシーの更新 |
Amazon MSK は、MSK クラスター間のデータレプリケーションをサポートする AWSMSKReplicatorExecutionRole アクセス WriteDataIdempotently 許可をポリシーに追加しました。 |
2024 年 3 月 12 日 |
| AWSMSKReplicatorExecutionRole - 新しいポリシー |
Amazon MSK は、Amazon MSK レプリケーターをサポートする AWSMSKReplicatorExecutionRole ポリシーを追加しました。 |
2023 年 12 月 4 日 |
| AmazonMSKFullAccess – 既存のポリシーの更新 |
Amazon MSK に、Amazon MSK Replicator をサポートするためのアクセス許可が追加されました。 |
2023 年 9 月 28 日 |
| KafkaServiceRolePolicy – 既存ポリシーへの更新 |
Amazon MSK に、マルチ VPC プライベート接続をサポートするためのアクセス許可が追加されました。 |
2023 年 3 月 8 日 |
| AmazonMSKFullAccess – 既存のポリシーの更新 |
Amazon MSK は、クラスターへの接続を可能にする新しい Amazon EC2 権限を追加しました。 |
2021 年 11 月 30 日 |
|
AmazonMSKFullAccess – 既存のポリシーの更新 |
Amazon MSK は、Amazon EC2 ルートテーブルを記述できるようにするための新しい権限を追加しました。 |
2021 年 11 月 19 日 |
|
Amazon MSK が変更の追跡を開始しました |
Amazon MSK が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 11 月 19 日 |
