本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon 的受管政策 MSK
同時 AWS 受管理的策略是由建立和管理的獨立策略 AWS. AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限,因為這些權限適用於所有使用案例 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更中定義的權限 AWS 受管理的策略。If AWS 更新中定義的權限 AWS 受管理的原則,更新會影響所附加原則的所有主體識別 (使用者、群組和角色)。 AWS 最有可能更新 AWS 管理策略,當一個新的 AWS 服務 已啟動或新API作業可供現有服務使用。
如需詳細資訊,請參閱 AWS《IAM使用者指南》中的受管理策略。
AWS 管理策略:mazonMSKFull訪問
此政策授予管理許可,允許主體完全存取所有 Amazon MSK 動作。此政策中的許可分組如下:
-
Amazon 許可允MSK許所有 Amazon MSK 行動。
-
Amazon EC2permissions — 在此策略中,需要驗證API請求中傳遞的資源。這是為了確保 Amazon 能MSK夠在叢集中成功使用這些資源。此政策中的 Amazon EC2 許可的其餘部分允許 Amazon 創MSK建 AWS 使您可以連線到叢集所需的資源。 -
AWS KMS權限 -在API調用期間用於驗證請求中傳遞的資源。Amazon MSK 需要它們才能將傳遞的密鑰與 Amazon MSK 集群一起使用。 -
CloudWatch Logs, Amazon S3, and Amazon Data Firehose許可 — Amazon 需要能MSK夠確保日誌傳遞目的地可訪問,並且對於代理日誌日誌使用有效。 IAM許可 — Amazon MSK 必須能夠在您的帳戶中建立服務連結角色,並允許您將服務執行角色傳遞給 Amazon MSK。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "kafka:*", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcAttribute", "kms:DescribeKey", "kms:CreateGrant", "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups", "S3:GetBucketPolicy", "firehose:TagDeliveryStream" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AWSMSKManaged": "true" }, "StringLike": { "aws:RequestTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSMSKManaged": "true" }, "StringLike": { "ec2:ResourceTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*", "Condition": { "StringLike": { "iam:AWSServiceName": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*", "Condition": { "StringLike": { "iam:AWSServiceName": "delivery.logs.amazonaws.com" } } } ] }
AWS 受管理策略:A mazonMSKRead OnlyAccess
此政策授予唯讀許可,允許使用者在 Amazon 中檢視資訊MSK。附加此政策的主體無法進行任何更新或刪除現有資源,也無法建立新的 Amazon MSK 資源。例如,具有這些許可的主體可以檢視與其帳戶相關聯的叢集和組態清單,但無法變更任何叢集的組態或設定。此政策中的許可分組如下:
-
Amazon MSK許可-允許您列出 Amazon MSK 資源,描述它們並獲取有關它們的信息。 -
Amazon EC2權限 — 用來描述 Amazon VPC、子網路、安全群組,以及與叢集ENIs相關聯的權限。 -
AWS KMS權限 -用於描述與集群相關聯的密鑰。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kafka:Describe*", "kafka:List*", "kafka:Get*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
AWS 受管理的策略: KafkaServiceRolePolicy
您無法附加 KafkaServiceRolePolicy 至您的IAM實體。此政策附加至服務連結角色,可讓 Amazon MSK 執行動作,例如管理叢集上MSK的VPC端點 (連接器)、管理網路界面,以及管理叢集登入資料 AWS Secrets Manager。 如需詳細資訊,請參閱在 Amazon 使用服務連結角色 MSK。
AWS 受管理的策略: AWSMSKReplicatorExecutionRole
該AWSMSKReplicatorExecutionRole政策授予 Amazon 複寫MSK器的許可,以便在MSK叢集之間複寫資料。此政策中的許可分組如下:
-
cluster— 授予 Amazon MSK 複製器許可,以使用IAM身份驗證連接到叢集。也會授與描述和變更叢集的權限。 -
topic— 授予 Amazon MSK 複製器許可,以描述、建立和更改主題,以及變更主題的動態組態。 -
consumer group— 授與 Amazon Re MSK plicator 權限,以描述和更改用戶群組、讀取和寫入MSK叢集日期,以及刪除複寫器建立的內部主題。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ClusterPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:WriteDataIdempotently" ], "Resource": [ "arn:aws:kafka:*:*:cluster/*" ] }, { "Sid": "TopicPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:AlterCluster" ], "Resource": [ "arn:aws:kafka:*:*:topic/*/*" ] }, { "Sid": "GroupPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:*:*:group/*/*" ] } ] }
Amazon MSK 更新 AWS 受管政策
檢視有關更新的詳細資訊 AWS MSK由於此服務開始追蹤這些變更,因此 Amazon 的受管政策。
| 變更 | 描述 | 日期 |
|---|---|---|
| WriteDataIdempotently 權限新增至 AWSMSKReplicatorExecutionRole — 更新至現有策略 |
Amazon MSK 新增 AWSMSKReplicatorExecutionRole 政策 WriteDataIdempotently 許可,以支援MSK叢集之間的資料複寫。 |
2024年3月12日 |
| AWSMSKReplicatorExecutionRole – 新政策 |
Amazon MSK 增加了 AWSMSKReplicatorExecutionRole 政策來支持 Amazon MSK 複製器。 |
2023 年 12 月 4 日 |
| mazonMSKFull存取 — 現有政策的更新 |
Amazon MSK 添加了許可以支持 Amazon MSK 複製器。 |
2023 年 9 月 28 日 |
| KafkaServiceRolePolicy – 更新現有政策 |
Amazon MSK 添加了許可以支持多VPC私有連接。 |
2023 年 3 月 8 日 |
| mazonMSKFull存取 — 現有政策的更新 |
Amazon MSK 添加了新的 Amazon EC2 許可,使其可以連接到集群。 |
2021 年 11 月 30 日 |
|
mazonMSKFull存取 — 現有政策的更新 |
Amazon MSK 增加了一個新的許可,允許它描述 Amazon EC2 路由表。 |
2021 年 11 月 19 日 |
|
Amazon MSK 開始跟踪變化 |
Amazon MSK 開始跟踪其變化 AWS 受管理的策略。 |
2021 年 11 月 19 日 |
