View a markdown version of this page

Permisos de SER adicionales para las claves SASL/SCRAM administradas por el cliente y las MTL - Transmisión administrada de Amazon para Apache Kafka

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de SER adicionales para las claves SASL/SCRAM administradas por el cliente y las MTL

La política AWSMSKReplicatorExecutionRole gestionada cubre los permisos de clústeres, temas y grupos de consumidores para la autenticación de IAM. Al replicar hacia o desde un clúster que utiliza SASL/SCRAM la autenticación mTLS (por ejemplo, al migrar desde un clúster de Apache Kafka autogestionado), o cuando el secreto se cifra con una clave gestionada por el cliente (CMK), es necesario adjuntar permisos adicionales en línea a la función de ejecución del servicio.

Utilice los siguientes fragmentos además de la política gestionada. Elija el escenario que se adapte a su configuración.

SASL/SCRAM secreto (con o sin el secreto de la CA raíz de TLS)

Otorga al SER permiso para leer las credenciales de SCRAM y (opcionalmente) el certificado de CA privado desde. AWS Secrets Manager<saslSecretArn>Sustitúyalo por el ARN secreto de SCRAM <privateCaCertSecretArn> y por el secreto que contiene el certificado de CA (omita el segundo ARN si utiliza un certificado de confianza pública).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "<saslSecretArn>", "<privateCaCertSecretArn>" ] } ] }
El secreto mTLS (con o sin el secreto de la CA raíz de TLS)

Otorga al SER permiso para leer el certificado del cliente y la clave privada del mismo. AWS Secrets Manager<mtlsSecretArn>Sustitúyalo por el ARN del secreto mTLS y <privateCaCertSecretArn> por el secreto que contiene el certificado de CA del servidor (omita el segundo ARN si utiliza un certificado de confianza pública).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "<mtlsSecretArn>", "<privateCaCertSecretArn>" ] } ] }
El secreto se cifra con una clave gestionada por el cliente

Si el secreto se cifra con una CMK en lugar de con la clave AWS gestionada, concédalo también con kms:Decrypt la CMK. <customerManagedKeyArn>Sustitúyalo por el ARN CMK.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "<secretArn>", "<privateCaCertSecretArn>" ] }, { "Sid": "KmsPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": [ "<customerManagedKeyArn>" ] } ] }
nota

Si prefiere un ámbito más amplio y coherente con los permisos del proveedor de configuración de MSK Connect, puede utilizarlo arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_* como patrón de recursos en lugar de los ARN secretos individuales.