As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS políticas gerenciadas para o Amazon MSK
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.
AWS política gerenciada: AmazonMSK FullAccess
Essa política concede permissões administrativas que permitem que a entidade principal tenha acesso total a todas as ações do Amazon MSK. As permissões nessa política são agrupadas da seguinte forma:
-
As permissões do Amazon MSK permitem todas as ações do Amazon MSK.
-
Amazon EC2permissões — nesta política, é necessário validar os recursos passados em uma solicitação de API. Isso serve para garantir que o Amazon MSK seja capaz de usar adequadamente os recursos com um cluster. O restante das permissões do Amazon EC2 nesta política permitem que o Amazon MSK crie AWS os recursos necessários para possibilitar a conexão com seus clusters. -
AWS KMSpermissões — são usadas durante chamadas de API para validar os recursos passados em uma solicitação. Elas são necessárias para que o Amazon MSK consiga usar a chave transmitida com o cluster do Amazon MSK. -
CloudWatch Logs, Amazon S3, and Amazon Data Firehosepermissões — são necessárias para que o Amazon MSK possa garantir que os destinos de entrega de logs sejam acessíveis e que sejam válidos para uso do log do agente. IAMpermissões — são necessárias para que o Amazon MSK possa criar uma função vinculada ao serviço em sua conta e para permitir que você passe uma função de execução de serviço para o Amazon MSK.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "kafka:*", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcAttribute", "kms:DescribeKey", "kms:CreateGrant", "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups", "S3:GetBucketPolicy", "firehose:TagDeliveryStream" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AWSMSKManaged": "true" }, "StringLike": { "aws:RequestTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSMSKManaged": "true" }, "StringLike": { "ec2:ResourceTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*", "Condition": { "StringLike": { "iam:AWSServiceName": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*", "Condition": { "StringLike": { "iam:AWSServiceName": "delivery.logs.amazonaws.com" } } } ] }
AWS política gerenciada: ReadOnly AmazonMSK Access
Essa política concede permissões de acesso somente leitura que permitem que os usuários visualizem informações no Amazon MSK. As entidades principais com essa política anexada não podem fazer nenhuma atualização ou excluir recursos existentes, nem criar novos recursos do Amazon MSK. Por exemplo, entidades principais com essas permissões podem visualizar a lista de clusters e configurações associadas à conta, mas não podem alterar a configuração ou as definições de nenhum cluster. As permissões nessa política são agrupadas da seguinte forma:
-
Amazon MSKpermissões — permitem que você liste os recursos do Amazon MSK, descreva-os e obtenha informações sobre eles. -
Amazon EC2permissões — são usadas para descrever a Amazon VPC, sub-redes, grupos de segurança e ENIs associados a um cluster. -
AWS KMSpermissão — é usada para descrever a chave associada ao cluster.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kafka:Describe*", "kafka:List*", "kafka:Get*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
AWS política gerenciada: KafkaServiceRolePolicy
Você não pode se vincular KafkaServiceRolePolicy às suas entidades do IAM. Essa política é anexada a um perfil vinculado a serviço que permite que o Amazon MSK realize ações como gerenciar endpoints da VPC (conectores) em clusters do MSK, gerenciar interfaces de rede e gerenciar credenciais de cluster com o AWS Secrets Manager. Para ter mais informações, consulte Uso de perfis vinculados a serviço para o Amazon MSK.
AWS política gerenciada: AWSMSKReplicatorExecutionRole
A AWSMSKReplicatorExecutionRole política concede permissões ao replicador Amazon MSK para replicar dados entre clusters MSK. As permissões nessa política são agrupadas da seguinte forma:
-
cluster— Concede ao Amazon MSK Replicator permissões para se conectar ao cluster usando a autenticação do IAM. Também concede permissões para descrever e alterar o cluster. -
topic— Concede ao Amazon MSK Replicator permissões para descrever, criar e alterar um tópico e alterar a configuração dinâmica do tópico. -
consumer group— Concede ao Amazon MSK Replicator permissões para descrever e alterar grupos de consumidores, ler e gravar datas de um cluster MSK e excluir tópicos internos criados pelo replicador.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ClusterPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:WriteDataIdempotently" ], "Resource": [ "arn:aws:kafka:*:*:cluster/*" ] }, { "Sid": "TopicPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:AlterCluster" ], "Resource": [ "arn:aws:kafka:*:*:topic/*/*" ] }, { "Sid": "GroupPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:*:*:group/*/*" ] } ] }
Atualizações do Amazon MSK para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon MSK desde que esse serviço começou a rastrear essas alterações.
| Alteração | Descrição | Data |
|---|---|---|
| WriteDataIdempotently permissão adicionada a AWSMSKReplicatorExecutionRole — Atualização de uma política existente |
O Amazon MSK adicionou WriteDataIdempotently permissão à AWSMSKReplicatorExecutionRole política para oferecer suporte à replicação de dados entre clusters MSK. |
12 de março de 2024 |
| AWSMSKReplicatorExecutionRole – Nova política |
O Amazon MSK adicionou uma AWSMSKReplicatorExecutionRole política para dar suporte ao Amazon MSK Replicator. |
4 de dezembro de 2023 |
| AmazonMSK FullAccess — Atualização de uma política existente |
O Amazon MSK adicionou permissões para compatibilidade com o replicador do Amazon MSK. |
28 de setembro de 2023 |
| KafkaServiceRolePolicy: atualizar para uma política existente |
O Amazon MSK adicionou permissões para compatibilidade com conectividade privada multi-VPC. |
8 de março de 2023 |
| AmazonMSK FullAccess — Atualização de uma política existente |
O Amazon MSK adicionou novas permissões do Amazon EC2 para possibilitar a conexão a um cluster. |
30 de novembro de 2021 |
|
AmazonMSK FullAccess — Atualização de uma política existente |
O Amazon MSK adicionou uma nova permissão para permitir a descrição das tabelas de rotas do Amazon EC2. |
19 de novembro de 2021 |
|
O Amazon MSK passou a monitorar alterações |
A Amazon MSK começou a monitorar as mudanças em suas políticas AWS gerenciadas. |
19 de novembro de 2021 |
