本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon MSK 會使用名為 AWSServiceRoleForKafka 的服務連結角色。Amazon MSK 會使用此角色存取您的資源並執行以下操作:
-
*NetworkInterface:在客戶帳戶中建立和管理網路介面,讓客戶 VPC 中的用戶端可以存取叢集代理程式。 -
*VpcEndpoints– 管理客戶帳戶中的 VPC 端點,讓客戶 VPC 中的用戶端可以使用該端點存取叢集代理程式 AWS PrivateLink。Amazon MSK 會使用DescribeVpcEndpoints、ModifyVpcEndpoint和DeleteVpcEndpoints許可。 -
secretsmanager– 使用 管理用戶端登入資料 AWS Secrets Manager。 -
GetCertificateAuthorityCertificate:擷取私有憑證授權機構的憑證。
此服務連結角色連接至下列受管政策:KafkaServiceRolePolicy。如需此政策的更新,請參閱 KafkaServiceRolePolicy。
AWSServiceRoleForKafka 服務連結角色信任下列服務以擔任角色:
-
kafka.amazonaws.com
角色許可政策允許 Amazon MSK 對資源完成下列動作。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:AttachNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DetachNetworkInterface",
"ec2:DescribeVpcEndpoints",
"acm-pca:GetCertificateAuthorityCertificate",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpoint"
],
"Resource": "arn:*:ec2:*:*:subnet/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint"
],
"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AWSMSKManaged": "true"
},
"StringLike": {
"ec2:ResourceTag/ClusterArn": "*"
}
}
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:PutResourcePolicy",
"secretsmanager:DeleteResourcePolicy",
"secretsmanager:DescribeSecret"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"secretsmanager:SecretId": "arn:*:secretsmanager:*:*:secret:AmazonMSK_*"
}
}
}
]
}您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的服務連結角色許可。
