기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Amazon MSK의 관리형 정책
AWS 관리형 정책은 에서 생성하고 관리하는 독립 실행형 정책입니다. AWS AWS 관리형 정책은 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었으므로 사용자, 그룹 및 역할에 권한을 할당하기 시작할 수 있습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수도 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
관리형 정책에 정의된 권한은 변경할 수 없습니다. AWS AWS 관리형 정책에 정의된 권한을 업데이트하는 경우 AWS 해당 업데이트는 정책이 연결된 모든 주체 ID (사용자, 그룹, 역할) 에 영향을 미칩니다. AWS 새 API 작업이 시작되거나 기존 서비스에 새 AWS 서비스 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 가장 높습니다.
자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하십시오.
AWS 관리형 정책: AmazonMSK FullAccess
이 정책은 모든 Amazon MSK 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 보안 주체에게 부여합니다. 해당 정책의 권한은 다음과 같이 그룹화됩니다.
-
Amazon MSK 권한은 모든 Amazon MSK 작업을 허용합니다.
-
Amazon EC2권한 — 이 정책에서 API 요청에서 전달된 리소스를 검증하려면 권한이 필요합니다. 이는 Amazon MSK가 클러스터에서 리소스를 성공적으로 사용할 수 있도록 하기 위한 것입니다. 이 정책의 나머지 Amazon EC2 권한은 Amazon MSK가 클러스터에 연결하는 데 필요한 AWS 리소스를 생성할 수 있도록 허용합니다. -
AWS KMS권한 — API 호출 중에 요청에서 전달된 리소스를 검증하는 데 사용됩니다. Amazon MSK가 전달된 키를 Amazon MSK 클러스터에서 사용할 수 있도록 하기 위해 필요합니다. -
CloudWatch Logs, Amazon S3, and Amazon Data Firehose권한 — Amazon MSK가 로그 전송 목적지에 도달할 수 있고 브로커 로그 사용에 유효한지 확인하는 데 필요합니다. IAM권한 — Amazon MSK가 사용자 계정에서 서비스 연결 역할을 생성하고 사용자가 Amazon MSK에 서비스 실행 역할을 넘길 수 있으려면 필요합니다.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "kafka:*", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcAttribute", "kms:DescribeKey", "kms:CreateGrant", "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups", "S3:GetBucketPolicy", "firehose:TagDeliveryStream" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AWSMSKManaged": "true" }, "StringLike": { "aws:RequestTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSMSKManaged": "true" }, "StringLike": { "ec2:ResourceTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*", "Condition": { "StringLike": { "iam:AWSServiceName": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*", "Condition": { "StringLike": { "iam:AWSServiceName": "delivery.logs.amazonaws.com" } } } ] }
AWS 관리형 정책: AmazonMSK 액세스 ReadOnly
이 정책은 Amazon MSK의 정보를 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책이 첨부된 보안 주체는 기존 리소스를 업데이트하거나 삭제할 수 없으며 새 Amazon MSK 리소스를 생성할 수도 없습니다. 예를 들어 이러한 권한이 있는 주체는 자신의 계정과 연결된 클러스터 및 구성 목록을 볼 수 있지만 클러스터의 구성이나 설정을 변경할 수는 없습니다. 해당 정책의 권한은 다음과 같이 그룹화됩니다.
-
Amazon MSK권한 — Amazon MSK 리소스를 나열하고, 설명하고, 관련 정보를 얻을 수 있습니다. -
Amazon EC2권한 — 클러스터와 관련된 Amazon VPC, 서브넷, 보안 그룹 및 ENI를 설명하는 데 사용됩니다. -
AWS KMS권한 - 클러스터와 관련된 키를 설명하는 데 사용됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kafka:Describe*", "kafka:List*", "kafka:Get*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
AWS 관리형 정책: KafkaServiceRolePolicy
IAM KafkaServiceRolePolicy 엔티티에 연결할 수 없습니다. 이 정책은 서비스 연결 역할에 첨부되어 Amazon MSK가 MSK 클러스터에서 VPC 엔드포인트(커넥터) 관리, 네트워크 인터페이스 관리, AWS Secrets Manager로 클러스터 보안 인증 정보 관리와 같은 작업을 수행할 수 있도록 합니다. 자세한 정보는 Amazon MSK에 서비스 연결 역할 사용을 참조하세요.
AWS 관리형 정책: AWSMSKReplicatorExecutionRole
이 AWSMSKReplicatorExecutionRole 정책은 Amazon MSK 복제기에 MSK 클러스터 간에 데이터를 복제할 수 있는 권한을 부여합니다. 해당 정책의 권한은 다음과 같이 그룹화됩니다.
-
cluster— Amazon MSK 복제기에 IAM 인증을 사용하여 클러스터에 연결할 수 있는 권한을 부여합니다. 또한 클러스터를 설명하고 변경할 권한을 부여합니다. -
topic— Amazon MSK Replicator에 주제를 설명, 생성 및 변경하고 주제의 동적 구성을 변경할 수 있는 권한을 부여합니다. -
consumer group— Amazon MSK Replicator에 소비자 그룹을 설명 및 변경하고, MSK 클러스터에서 날짜를 읽고 쓰고, 복제기가 생성한 내부 주제를 삭제할 수 있는 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ClusterPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:WriteDataIdempotently" ], "Resource": [ "arn:aws:kafka:*:*:cluster/*" ] }, { "Sid": "TopicPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:AlterCluster" ], "Resource": [ "arn:aws:kafka:*:*:topic/*/*" ] }, { "Sid": "GroupPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:*:*:group/*/*" ] } ] }
Amazon MSK, AWS 관리형 정책 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 Amazon MSK의 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인하십시오.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
| WriteDataIdempotently 권한 추가 AWSMSKReplicatorExecutionRole — 기존 정책 업데이트 |
Amazon MSK는 MSK 클러스터 간 데이터 복제를 지원하는 WriteDataIdempotently 권한을 AWSMSKReplicatorExecutionRole 정책에 추가했습니다. |
2024년 3월 12일 |
| AWSMSKReplicatorExecutionRole - 새 정책 |
Amazon MSK는 아마존 MSK 리플리케이터를 지원하는 AWSMSKReplicatorExecutionRole 정책을 추가했습니다. |
2023년 12월 4일 |
| FullAccessAmazonMSK — 기존 정책에 대한 업데이트 |
Amazon MSK가 Amazon MSK Replicator를 지원하기 위한 권한을 추가했습니다. |
2023년 9월 28일 |
| KafkaServiceRolePolicy-기존 정책 업데이트 |
Amazon MSK가 다중 VPC 프라이빗 연결을 지원하기 위한 권한을 추가했습니다. |
2023년 3월 8일 |
| AmazonMSK FullAccess — 기존 정책에 대한 업데이트 |
Amazon MSK가 클러스터에 연결할 수 있도록 새로운 Amazon EC2 권한을 추가했습니다. |
2021년 11월 30일 |
|
AmazonMSK FullAccess — 기존 정책에 대한 업데이트 |
Amazon MSK가 Amazon EC2 라우팅 테이블을 설명할 수 있는 새로운 권한을 추가했습니다. |
2021년 11월 19일 |
|
Amazon MSK에서 변경 사항 추적 시작 |
Amazon MSK는 AWS 관리형 정책의 변경 사항을 추적하기 시작했습니다. |
2021년 11월 19일 |
