Ein mazonMSKFull Zugriff Ein mazonMSKRead OnlyAccess KafkaServiceRolePolicy AWSMSKReplicatorExecutionRole Richtlinienaktualisierungen

AWS verwaltete Richtlinien für Amazon MSK

Importieren in &S3; AWS Eine verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie Folgendes AWS verwaltete Richtlinien gewähren möglicherweise keine Berechtigungen mit den geringsten Rechten für Ihre spezifischen Anwendungsfälle, da sie für alle verfügbar sind AWS Kunden, die verwendet werden sollen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in definierten Berechtigungen nicht ändern AWS verwaltete Richtlinien. Wenn AWS aktualisiert die in einem definierten Berechtigungen AWS Bei verwalteter Richtlinie wirkt sich das Update auf alle Hauptidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert am wahrscheinlichsten ein AWS verwaltete Richtlinie bei einer neuen AWS-Service wird gestartet oder neue API Operationen werden für bestehende Dienste verfügbar.

Weitere Informationen finden Sie unter AWS verwaltete Richtlinien im IAMBenutzerhandbuch.

AWS verwaltete Richtlinie: Ein mazonMSKFull Zugriff

Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle MSK Amazon-Aktionen gewähren. Die Berechtigungen in dieser Richtlinie sind wie folgt gruppiert:

Die MSK Amazon-Berechtigungen ermöglichen alle MSK Amazon-Aktionen.
Amazon EC2Berechtigungen — In dieser Richtlinie sind sie erforderlich, um die übergebenen Ressourcen in einer API Anfrage zu validieren. Dadurch soll sichergestellt werden, MSK dass Amazon die Ressourcen erfolgreich mit einem Cluster nutzen kann. Die übrigen EC2 Amazon-Berechtigungen in dieser Richtlinie ermöglichen es AmazonMSK, Folgendes zu erstellen AWS Ressourcen, die benötigt werden, damit Sie eine Verbindung zu Ihren Clustern herstellen können.
AWS KMSBerechtigungen — werden bei API Aufrufen verwendet, um die übergebenen Ressourcen in einer Anfrage zu überprüfen. Sie sind erforderlichMSK, damit Amazon den übergebenen Schlüssel mit dem MSK Amazon-Cluster verwenden kann.
CloudWatch Logs, Amazon S3, and Amazon Data FirehoseBerechtigungen — sind erforderlich, MSK damit Amazon sicherstellen kann, dass die Protokollzustellungsziele erreichbar sind und dass sie für die Verwendung von Broker-Protokollen gültig sind.
IAMBerechtigungen — sind erforderlichMSK, damit Amazon in Ihrem Konto eine serviceverknüpfte Rolle erstellen und Sie eine Serviceausführungsrolle an Amazon MSK übergeben können.


    {
    	"Version": "2012-10-17",
    	"Statement": [{
    			"Effect": "Allow",
    			"Action": [
    				"kafka:*",
    				"ec2:DescribeSubnets",
    				"ec2:DescribeVpcs",
    				"ec2:DescribeSecurityGroups",
    				"ec2:DescribeRouteTables",
    				"ec2:DescribeVpcEndpoints",
    				"ec2:DescribeVpcAttribute",
    				"kms:DescribeKey",
    				"kms:CreateGrant",
    				"logs:CreateLogDelivery",
    				"logs:GetLogDelivery",
    				"logs:UpdateLogDelivery",
    				"logs:DeleteLogDelivery",
    				"logs:ListLogDeliveries",
    				"logs:PutResourcePolicy",
    				"logs:DescribeResourcePolicies",
    				"logs:DescribeLogGroups",
    				"S3:GetBucketPolicy",
    				"firehose:TagDeliveryStream"
    			],
    			"Resource": "*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:CreateVpcEndpoint"
    			],
    			"Resource": [
    				"arn:*:ec2:*:*:vpc/*",
    				"arn:*:ec2:*:*:subnet/*",
    				"arn:*:ec2:*:*:security-group/*"
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:CreateVpcEndpoint"
    			],
    			"Resource": [
    				"arn:*:ec2:*:*:vpc-endpoint/*"
    			],
    			"Condition": {
    				"StringEquals": {
    					"aws:RequestTag/AWSMSKManaged": "true"
    				},
    				"StringLike": {
    					"aws:RequestTag/ClusterArn": "*"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:CreateTags"
    			],
    			"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
    			"Condition": {
    				"StringEquals": {
    					"ec2:CreateAction": "CreateVpcEndpoint"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:DeleteVpcEndpoints"
    			],
    			"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
    			"Condition": {
    				"StringEquals": {
    					"ec2:ResourceTag/AWSMSKManaged": "true"
    				},
    				"StringLike": {
    					"ec2:ResourceTag/ClusterArn": "*"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": "iam:PassRole",
    			"Resource": "*",
    			"Condition": {
    				"StringEquals": {
    					"iam:PassedToService": "kafka.amazonaws.com"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": "iam:CreateServiceLinkedRole",
    			"Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*",
    			"Condition": {
    				"StringLike": {
    					"iam:AWSServiceName": "kafka.amazonaws.com"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"iam:AttachRolePolicy",
    				"iam:PutRolePolicy"
    			],
    			"Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": "iam:CreateServiceLinkedRole",
    			"Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*",
    			"Condition": {
    				"StringLike": {
    					"iam:AWSServiceName": "delivery.logs.amazonaws.com"
    				}
    			}
    		}

    	]
    }

AWS verwaltete Richtlinie: A mazonMSKRead OnlyAccess

Diese Richtlinie gewährt Benutzern nur Leseberechtigungen, die es Benutzern ermöglichen, Informationen in Amazon einzusehen. MSK Principals, denen diese Richtlinie beigefügt ist, können keine vorhandenen Ressourcen aktualisieren oder löschen, noch können sie neue MSK Amazon-Ressourcen erstellen. Prinzipale mit diesen Berechtigungen können beispielsweise die Liste der Cluster und Konfigurationen, die mit ihrem Konto verknüpft sind, einsehen, aber nicht die Konfiguration oder Einstellungen von Clustern ändern. Die Berechtigungen in dieser Richtlinie sind wie folgt gruppiert:

Amazon MSKBerechtigungen — ermöglichen es Ihnen, MSK Amazon-Ressourcen aufzulisten, zu beschreiben und Informationen über sie zu erhalten.
Amazon EC2Berechtigungen — werden verwendet, um AmazonVPC, Subnetze und Sicherheitsgruppen zu beschreiben, ENIs die einem Cluster zugeordnet sind.
AWS KMSPermission — wird verwendet, um den Schlüssel zu beschreiben, der dem Cluster zugeordnet ist.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "kafka:Describe*",
                "kafka:List*",
                "kafka:Get*",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "kms:DescribeKey"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS verwaltete Richtlinie: KafkaServiceRolePolicy

Sie können keine Verbindungen KafkaServiceRolePolicy zu Ihren IAM Entitäten herstellen. Diese Richtlinie ist mit einer serviceverknüpften Rolle verknüpft, die es Amazon MSK ermöglicht, Aktionen wie die Verwaltung von VPC Endpunkten (Connectors) auf MSK Clustern, die Verwaltung von Netzwerkschnittstellen und die Verwaltung von Cluster-Anmeldeinformationen durchzuführen mit AWS Secrets Manager. Weitere Informationen finden Sie unterVerwenden von serviceverknüpften Rollen für Amazon MSK.

AWS verwaltete Richtlinie: AWSMSKReplicatorExecutionRole

Die AWSMSKReplicatorExecutionRole Richtlinie gewährt dem MSK Amazon-Replikator die Erlaubnis, Daten zwischen MSK Clustern zu replizieren. Die Berechtigungen in dieser Richtlinie sind wie folgt gruppiert:

cluster— Erteilt dem Amazon MSK Replicator die Berechtigung, mithilfe von IAM Authentifizierung eine Verbindung zum Cluster herzustellen. Erteilt außerdem Berechtigungen zur Beschreibung und Änderung des Clusters.
topic— Erteilt dem Amazon MSK Replicator die Berechtigung, ein Thema zu beschreiben, zu erstellen und zu ändern sowie die dynamische Konfiguration des Themas zu ändern.
consumer group— Erteilt dem Amazon MSK Replicator die Berechtigung, Nutzergruppen zu beschreiben und zu ändern, Daten aus einem MSK Cluster zu lesen und zu schreiben und interne Themen zu löschen, die vom Replikator erstellt wurden.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "ClusterPermissions",
			"Effect": "Allow",
			"Action": [
				"kafka-cluster:Connect",
				"kafka-cluster:DescribeCluster",
				"kafka-cluster:AlterCluster",
				"kafka-cluster:DescribeTopic",
				"kafka-cluster:CreateTopic",
				"kafka-cluster:AlterTopic",
				"kafka-cluster:WriteData",
				"kafka-cluster:ReadData",
				"kafka-cluster:AlterGroup",
				"kafka-cluster:DescribeGroup",
				"kafka-cluster:DescribeTopicDynamicConfiguration",
				"kafka-cluster:AlterTopicDynamicConfiguration",
				"kafka-cluster:WriteDataIdempotently"
			],
			"Resource": [
				"arn:aws:kafka:*:*:cluster/*"
			]
		},
		{
			"Sid": "TopicPermissions",
			"Effect": "Allow",
			"Action": [
				"kafka-cluster:DescribeTopic",
				"kafka-cluster:CreateTopic",
				"kafka-cluster:AlterTopic",
				"kafka-cluster:WriteData",
				"kafka-cluster:ReadData",
				"kafka-cluster:DescribeTopicDynamicConfiguration",
				"kafka-cluster:AlterTopicDynamicConfiguration",
				"kafka-cluster:AlterCluster"
			],
			"Resource": [
				"arn:aws:kafka:*:*:topic/*/*"
			]
		},
		{
			"Sid": "GroupPermissions",
			"Effect": "Allow",
			"Action": [
				"kafka-cluster:AlterGroup",
				"kafka-cluster:DescribeGroup"
			],
			"Resource": [
				"arn:aws:kafka:*:*:group/*/*"
			]
		}
	]
}

Amazon MSK aktualisiert auf AWS Verwaltete Richtlinien

Einzelheiten zu Updates anzeigen für AWS verwaltete Richtlinien für Amazon, MSK seit dieser Service begonnen hat, diese Änderungen zu verfolgen.

Änderung	Beschreibung	Datum
WriteDataIdempotently Genehmigung hinzugefügt zu AWSMSKReplicatorExecutionRole — Aktualisierung einer bestehenden Richtlinie	Amazon MSK hat der AWSMSKReplicatorExecutionRole Richtlinie die WriteDataIdempotently Genehmigung zur Unterstützung der Datenreplikation zwischen MSK Clustern hinzugefügt.	12. März 2024
AWSMSKReplicatorExecutionRole – Neue Richtlinie.	Amazon MSK hat eine AWSMSKReplicatorExecutionRole Richtlinie zur Unterstützung von Amazon MSK Replicator hinzugefügt.	4. Dezember 2023
Ein mazonMSKFull Zugriff — Aktualisierung einer bestehenden Richtlinie	Amazon MSK hat Berechtigungen zur Unterstützung von Amazon MSK Replicator hinzugefügt.	28. September 2023
KafkaServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie	Amazon MSK hat Berechtigungen zur Unterstützung von VPC Multi-Private-Konnektivität hinzugefügt.	08. März 2023
A mazonMSKFull Access — Aktualisierung einer bestehenden Richtlinie	Amazon MSK hat neue EC2 Amazon-Berechtigungen hinzugefügt, um eine Verbindung zu einem Cluster herzustellen.	30. November 2021
A mazonMSKFull Access — Aktualisierung einer bestehenden Richtlinie	Amazon MSK hat eine neue Berechtigung hinzugefügt, um EC2 Amazon-Routing-Tabellen beschreiben zu können.	19. November 2021
Amazon MSK hat begonnen, Änderungen zu verfolgen	Amazon MSK hat begonnen, Änderungen für seine AWS verwaltete Richtlinien.	19. November 2021

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Service-verknüpfte Rollen

Fehlerbehebung