Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Managed Streaming for Apache Kafka
Amazon Managed Streaming for Apache Kafka (Servicepräfix:kafka
) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Sehen Sie sich eine Liste der für diesen API Service verfügbaren Operationen an.
-
Erfahren Sie, wie Sie diesen Dienst und seine Ressourcen mithilfe von IAM Berechtigungsrichtlinien schützen können.
Themen
Von Amazon Managed Streaming for Apache Kafka definierte Aktionen
Sie können die folgenden Aktionen im Action
Element einer IAM Richtlinienerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie normalerweise den Zugriff auf den API Vorgang oder CLI Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource
Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie in ARN einer Anweisung mit dieser Aktion einen Ressourcentyp angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Resource
Element in einer IAM Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp ein ARN Oder-Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition
einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
---|---|---|---|---|---|
BatchAssociateScramSecret | Erteilt die Erlaubnis, einem MSK Amazon-Cluster ein oder mehrere Scram-Geheimnisse zuzuordnen | Schreiben |
kms:CreateGrant kms:RetireGrant |
||
BatchDisassociateScramSecret | Erteilt die Erlaubnis, ein oder mehrere Scram-Geheimnisse von einem Amazon-Cluster zu trennen MSK | Schreiben |
kms:RetireGrant |
||
CreateCluster | Erteilt die Erlaubnis, einen Cluster zu erstellen MSK | Schreiben |
ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcs iam:AttachRolePolicy iam:CreateServiceLinkedRole iam:PutRolePolicy kms:CreateGrant kms:DescribeKey |
||
CreateClusterV2 | Erteilt die Berechtigung zum Erstellen eines MSK Clusters | Schreiben |
ec2:CreateTags ec2:CreateVpcEndpoint ec2:DeleteVpcEndpoints ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcAttribute ec2:DescribeVpcEndpoints ec2:DescribeVpcs iam:AttachRolePolicy iam:CreateServiceLinkedRole iam:PutRolePolicy kms:CreateGrant kms:DescribeKey |
||
CreateConfiguration | Erteilt die Berechtigung zum Erstellen einer MSK Konfiguration | Schreiben | |||
CreateReplicator | Erteilt die Erlaubnis, einen MSK Replikator zu erstellen | Schreiben |
ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcs iam:AttachRolePolicy iam:CreateServiceLinkedRole iam:PassRole iam:PutRolePolicy kafka:DescribeClusterV2 kafka:GetBootstrapBrokers |
||
CreateVpcConnection | Erteilt die Erlaubnis, eine MSK VPC Verbindung herzustellen | Schreiben |
ec2:CreateTags ec2:CreateVpcEndpoint ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcAttribute ec2:DescribeVpcEndpoints ec2:DescribeVpcs iam:AttachRolePolicy iam:CreateServiceLinkedRole iam:PutRolePolicy |
||
DeleteCluster | Erteilt die Berechtigung zum Löschen eines MSK Clusters | Schreiben |
ec2:DeleteVpcEndpoints ec2:DescribeVpcAttribute ec2:DescribeVpcEndpoints |
||
DeleteClusterPolicy | Gewährt die Berechtigung zum Löschen einer auf Cluster-Ressourcen basierenden Richtlinie | Schreiben | |||
DeleteConfiguration | Erteilt die Berechtigung zum Löschen der angegebenen MSK Konfiguration | Schreiben | |||
DeleteReplicator | Erteilt die Berechtigung zum Löschen eines MSK Replikators | Schreiben | |||
DeleteVpcConnection | Erteilt die Berechtigung zum Löschen einer Verbindung MSK VPC | Schreiben |
ec2:DeleteVpcEndpoints ec2:DescribeVpcEndpoints |
||
DescribeCluster | Erteilt die Erlaubnis, einen MSK Cluster zu beschreiben | Lesen | |||
DescribeClusterOperation | Erteilt die Berechtigung, den Clustervorgang zu beschreiben, der durch den angegebenen Wert spezifiziert ist ARN | Lesen | |||
DescribeClusterOperationV2 | Erteilt die Berechtigung, den Clustervorgang zu beschreiben, der durch den angegebenen Wert spezifiziert ist ARN | Lesen | |||
DescribeClusterV2 | Erteilt die Erlaubnis, einen MSK Cluster zu beschreiben | Lesen | |||
DescribeConfiguration | Erteilt die Erlaubnis, eine MSK Konfiguration zu beschreiben | Lesen | |||
DescribeConfigurationRevision | Erteilt die Erlaubnis, eine MSK Konfigurationsrevision zu beschreiben | Lesen | |||
DescribeReplicator | Erteilt die Erlaubnis, einen MSK Replikator zu beschreiben | Lesen | |||
DescribeVpcConnection | Erteilt die Erlaubnis, eine MSK VPC Verbindung zu beschreiben | Lesen | |||
GetBootstrapBrokers | Erteilt die Erlaubnis, Verbindungsdetails für die Broker in einem MSK Cluster abzurufen | Lesen | |||
GetClusterPolicy | Gewährt die Berechtigung zum Beschreiben einer auf Cluster-Ressourcen basierenden Richtlinie | Lesen | |||
GetCompatibleKafkaVersions | Erteilt die Berechtigung, eine Liste der Apache Kafka-Versionen abzurufen, auf die Sie einen MSK Cluster aktualisieren können | Auflisten | |||
ListClientVpcConnections | Erteilt die Berechtigung, alle für einen MSK VPC Cluster erstellten Verbindungen aufzulisten | Auflisten | |||
ListClusterOperations | Erteilt die Berechtigung, eine Liste aller Operationen zurückzugeben, die auf dem angegebenen MSK Cluster ausgeführt wurden | Auflisten | |||
ListClusterOperationsV2 | Erteilt die Berechtigung, eine Liste aller Operationen zurückzugeben, die auf dem angegebenen MSK Cluster ausgeführt wurden | Auflisten | |||
ListClusters | Erteilt die Berechtigung, alle MSK Cluster in diesem Konto aufzulisten | Auflisten | |||
ListClustersV2 | Erteilt die Berechtigung, alle MSK Cluster in diesem Konto aufzulisten | Auflisten | |||
ListConfigurationRevisions | Erteilt die Berechtigung, alle Revisionen für eine MSK Konfiguration in diesem Konto aufzulisten | Auflisten | |||
ListConfigurations | Erteilt die Berechtigung, alle MSK Konfigurationen in diesem Konto aufzulisten | Auflisten | |||
ListKafkaVersions | Erteilt die Erlaubnis, alle von Amazon unterstützten Apache Kafka-Versionen aufzulisten MSK | Auflisten | |||
ListNodes | Erteilt die Erlaubnis, Broker in einem MSK Cluster aufzulisten | Auflisten | |||
ListReplicators | Erteilt die Berechtigung, alle MSK Replikatoren in diesem Konto aufzulisten | Auflisten | |||
ListScramSecrets | Erteilt die Erlaubnis, die mit einem MSK Amazon-Cluster verknüpften Scram-Geheimnisse aufzulisten | Auflisten | |||
ListTagsForResource | Erteilt die Erlaubnis, Tags einer MSK Ressource aufzulisten | Lesen | |||
ListVpcConnections | Erteilt die Berechtigung, alle MSK VPC Verbindungen aufzulisten, die dieses Konto verwendet | Auflisten | |||
PutClusterPolicy | Gewährt die Berechtigung zum Erstellen oder Aktualisieren der ressourcenbasierten Richtlinie für einen Cluster | Schreiben | |||
RebootBroker | Gewährt die Berechtigung, einen Broker neu zu starten | Schreiben | |||
RejectClientVpcConnection | Erteilt die Erlaubnis, eine MSK VPC Verbindung abzulehnen | Schreiben | |||
TagResource | Erteilt die Erlaubnis, eine MSK Ressource zu taggen | Tagging | |||
UntagResource | Erteilt die Erlaubnis, Tags aus einer MSK Ressource zu entfernen | Tagging | |||
UpdateBrokerCount | Erteilt die Erlaubnis, die Anzahl der Broker des MSK Clusters zu aktualisieren | Schreiben | |||
UpdateBrokerStorage | Erteilt die Berechtigung, die Speichergröße der Broker des MSK Clusters zu aktualisieren | Schreiben | |||
UpdateBrokerType | Erteilt die Erlaubnis, den Brokertyp eines MSK Amazon-Clusters zu aktualisieren | Schreiben | |||
UpdateClusterConfiguration | Erteilt die Erlaubnis, die Konfiguration des MSK Clusters zu aktualisieren | Schreiben | |||
UpdateClusterKafkaVersion | Erteilt die Berechtigung, den MSK Cluster auf die angegebene Apache Kafka-Version zu aktualisieren | Schreiben | |||
UpdateConfiguration | Erteilt die Erlaubnis, eine neue Version der MSK Konfiguration zu erstellen | Schreiben | |||
UpdateConnectivity | Erteilt die Berechtigung zum Aktualisieren der Konnektivitätseinstellungen für den MSK Cluster | Schreiben |
ec2:DescribeRouteTables ec2:DescribeSubnets |
||
UpdateMonitoring | Erteilt die Berechtigung zum Aktualisieren der Überwachungseinstellungen für den MSK Cluster | Schreiben | |||
UpdateReplicationInfo | Erteilt die Berechtigung, die Replikationsinformationen des MSK Replikators zu aktualisieren | Schreiben | |||
UpdateSecurity | Erteilt die Berechtigung zum Aktualisieren der Sicherheitseinstellungen für den Cluster MSK | Schreiben |
kms:RetireGrant |
||
UpdateStorage | Erteilt die Berechtigung, den den MSK Brokern zugewiesenen EBS Speicher (Größe oder bereitgestellter Durchsatz) zu aktualisieren oder den Cluster-Speichermodus auf festzulegen TIERED | Schreiben |
Von Amazon Managed Streaming for Apache Kafka definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Dienst definiert und können als Resource
Element von IAM Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
Ressourcentypen | ARN | Bedingungsschlüssel |
---|---|---|
cluster |
arn:${Partition}:kafka:${Region}:${Account}:cluster/${ClusterName}/${Uuid}
|
|
configuration |
arn:${Partition}:kafka:${Region}:${Account}:configuration/${ConfigurationName}/${Uuid}
|
|
vpc-connection |
arn:${Partition}:kafka:${Region}:${VpcOwnerAccount}:vpc-connection/${ClusterOwnerAccount}/${ClusterName}/${Uuid}
|
|
replicator |
arn:${Partition}:kafka:${Region}:${Account}:replicator/${ReplicatorName}/${Uuid}
|
|
topic |
arn:${Partition}:kafka:${Region}:${Account}:topic/${ClusterName}/${ClusterUuid}/${TopicName}
|
|
group |
arn:${Partition}:kafka:${Region}:${Account}:group/${ClusterName}/${ClusterUuid}/${GroupName}
|
|
transactional-id |
arn:${Partition}:kafka:${Region}:${Account}:transactional-id/${ClusterName}/${ClusterUuid}/${TransactionalId}
|
Bedingungsschlüssel für Amazon Managed Streaming for Apache Kafka
Amazon Managed Streaming for Apache Kafka definiert die folgenden Bedingungsschlüssel, die im Condition
Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
Bedingungsschlüssel | Beschreibung | Typ |
---|---|---|
aws:RequestTag/${TagKey} | Filtert den Zugriff nach dem Vorhandensein von Tag-Schlüssel-Wert-Paaren in der Anforderung | String |
aws:ResourceTag/${TagKey} | Filtert Aktionen nach Tag-Schlüssel-Werte-Paaren, die der Ressource angefügt sind | String |
aws:TagKeys | Filtert den Zugriff durch das Vorhandensein von Tag-Schlüsseln in der Anforderung. | ArrayOfString |
kafka:publicAccessEnabled | Filtert den Zugriff danach, ob die Anforderung für den öffentlichen Zugriff freigegeben ist | Bool |