步骤 2:将集群策略附加到 MSK 集群 - Amazon Managed Streaming for Apache Kafka

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 2:将集群策略附加到 MSK 集群

集群所有者可以将集群策略(也称为基于资源的策略)附加到 MSK 集群,您将在其中开启多 VPC 私有连接。集群策略会授予客户端从其他账户访问集群的权限。在编辑集群策略之前,您需要应有权访问 MSK 集群的账户的账户 ID。请参阅 How Amazon MSK works with IAM

集群所有者必须将集群策略附加到 MSK 集群,该策略将授权账户 B 中的跨账户用户获取集群的引导代理,并授权对账户 A 中的 MSK 集群执行以下操作:

  • CreateVpcConnection

  • GetBootstrapBrokers

  • DescribeCluster

  • DescribeClusterV2

作为参考,以下是基本集群策略的 JSON 示例,类似于 MSK 控制台 IAM policy 编辑器中显示的默认策略。以下策略授予群集、主题和组级别访问权限。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": [
        "kafka:CreateVpcConnection",
        "kafka:GetBootstrapBrokers",
        "kafka:DescribeCluster",
        "kafka:DescribeClusterV2",
        "kafka-cluster:*"
      ],
      "Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
    }
  ]
}
将集群策略附加到 MSK 集群

  1. 在 Amazon MSK 控制台的 MSK 集群下,选择集群

  2. 向下滚动到安全设置,然后选择编辑集群策略

  3. 在控制台的编辑集群策略屏幕上,选择多 VPC 连接的基本策略

  4. 账户 ID 字段中,输入应有权访问此集群的每个账户的账户 ID。在您输入 ID 时,它会自动复制到显示的策略 JSON 语法中。在我们的示例集群策略中,账户 ID 为 123456789012

  5. 选择保存更改

有关集群策略的信息 APIs,请参阅 Amazon MSK 基于资源的策略。