Tindakan kebijakan otorisasi Sumber daya kebijakan otorisasi

Semantik tindakan kebijakan IAM otorisasi dan sumber daya

Bagian ini menjelaskan semantik elemen tindakan dan sumber daya yang dapat Anda gunakan dalam kebijakan IAM otorisasi. Untuk contoh kebijakan, lihat Membuat kebijakan otorisasi untuk peran IAM.

Tindakan kebijakan otorisasi

Tabel berikut mencantumkan tindakan yang dapat Anda sertakan dalam kebijakan otorisasi saat Anda menggunakan kontrol IAM akses untuk AmazonMSK. Bila Anda menyertakan dalam kebijakan otorisasi tindakan dari kolom Tindakan tabel, Anda juga harus menyertakan tindakan terkait dari kolom Tindakan yang diperlukan.

Tindakan	Deskripsi	Tindakan yang diperlukan	Sumber daya yang dibutuhkan	Berlaku untuk cluster tanpa server
`kafka-cluster:Connect`	Memberikan izin untuk menghubungkan dan mengautentikasi ke cluster.	Tidak ada	cluster	Ya
`kafka-cluster:DescribeCluster`	Memberikan izin untuk mendeskripsikan berbagai aspek cluster, setara dengan Apache Kafka. DESCRIBE CLUSTER ACL	`kafka-cluster:Connect`	cluster	Ya
`kafka-cluster:AlterCluster`	Memberikan izin untuk mengubah berbagai aspek cluster, setara dengan Apache Kafka. ALTER CLUSTER ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeCluster`	cluster	Tidak
`kafka-cluster:DescribeClusterDynamicConfiguration`	Memberikan izin untuk mendeskripsikan konfigurasi dinamis sebuah cluster, setara dengan Apache Kafka's _. DESCRIBE CONFIGS CLUSTER ACL	`kafka-cluster:Connect`	cluster	Tidak
`kafka-cluster:AlterClusterDynamicConfiguration`	Memberikan izin untuk mengubah konfigurasi dinamis cluster, setara dengan _ Apache Kafka. ALTER CONFIGS CLUSTER ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeClusterDynamicConfiguration`	cluster	Tidak
`kafka-cluster:WriteDataIdempotently`	Memberikan izin untuk menulis data idempotently pada sebuah cluster, setara dengan Apache Kafka _. IDEMPOTENT WRITE CLUSTER ACL	`kafka-cluster:Connect` `kafka-cluster:WriteData`	cluster	Ya
`kafka-cluster:CreateTopic`	Memberikan izin untuk membuat topik di cluster, setara dengan Apache Kafka/. CREATE CLUSTER TOPIC ACL	`kafka-cluster:Connect`	topik	Ya
`kafka-cluster:DescribeTopic`	Memberikan izin untuk mendeskripsikan topik di cluster, setara dengan Apache Kafka. DESCRIBE TOPIC ACL	`kafka-cluster:Connect`	topik	Ya
`kafka-cluster:AlterTopic`	Memberikan izin untuk mengubah topik di cluster, setara dengan Apache Kafka. ALTER TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	topik	Ya
`kafka-cluster:DeleteTopic`	Memberikan izin untuk menghapus topik di cluster, setara dengan Apache Kafka. DELETE TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	topik	Ya
`kafka-cluster:DescribeTopicDynamicConfiguration`	Memberikan izin untuk mendeskripsikan konfigurasi dinamis topik pada sebuah cluster, setara dengan Apache Kafka _. DESCRIBE CONFIGS TOPIC ACL	`kafka-cluster:Connect`	topik	Ya
`kafka-cluster:AlterTopicDynamicConfiguration`	Memberikan izin untuk mengubah konfigurasi dinamis topik pada sebuah cluster, setara dengan Apache Kafka _. ALTER CONFIGS TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopicDynamicConfiguration`	topik	Ya
`kafka-cluster:ReadData`	Memberikan izin untuk membaca data dari topik di cluster, setara dengan Apache Kafka. READ TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic` `kafka-cluster:AlterGroup`	topik	Ya
`kafka-cluster:WriteData`	Memberikan izin untuk menulis data ke topik di cluster, setara dengan Apache Kafka WRITE TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	topik	Ya
`kafka-cluster:DescribeGroup`	Memberikan izin untuk mendeskripsikan grup di cluster, setara dengan Apache Kafka. DESCRIBE GROUP ACL	`kafka-cluster:Connect`	grup	Ya
`kafka-cluster:AlterGroup`	Memberikan izin untuk bergabung dengan grup di cluster, setara dengan Apache Kafka. READ GROUP ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeGroup`	grup	Ya
`kafka-cluster:DeleteGroup`	Memberikan izin untuk menghapus grup di cluster, setara dengan Apache Kafka. DELETE GROUP ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeGroup`	grup	Ya
`kafka-cluster:DescribeTransactionalId`	Memberikan izin untuk mendeskripsikan transaksional IDs pada cluster, setara dengan _ID Apache Kafka. DESCRIBE TRANSACTIONAL ACL	`kafka-cluster:Connect`	transaksional-id	Ya
`kafka-cluster:AlterTransactionalId`	Memberikan izin untuk mengubah transaksional IDs pada cluster, setara dengan _ID Apache Kafka. WRITE TRANSACTIONAL ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTransactionalId` `kafka-cluster:WriteData`	transaksional-id	Ya

Anda dapat menggunakan wildcard asterisk (*) beberapa kali dalam tindakan setelah titik dua. Berikut ini adalah beberapa contohnya.

kafka-cluster:*Topicsingkatan darikafka-cluster:CreateTopic,kafka-cluster:DescribeTopic,kafka-cluster:AlterTopic, dankafka-cluster:DeleteTopic. Itu tidak termasuk kafka-cluster:DescribeTopicDynamicConfiguration ataukafka-cluster:AlterTopicDynamicConfiguration.
kafka-cluster:*singkatan dari semua izin.

Sumber daya kebijakan otorisasi

Tabel berikut menunjukkan empat jenis sumber daya yang dapat Anda gunakan dalam kebijakan otorisasi saat Anda menggunakan kontrol IAM akses untuk AmazonMSK. Anda bisa mendapatkan klaster Amazon Resource Name (ARN) dari AWS Management Console atau dengan menggunakan DescribeClusterAPIatau perintah AWS CLI describe-cluster. Anda kemudian dapat menggunakan cluster ARN untuk membangun topik, grup, dan ID transaksional. ARNs Untuk menentukan sumber daya dalam kebijakan otorisasi, gunakan sumber daya tersebut. ARN

Sumber Daya	ARNformat
Klaster	arn:aws:kafka:`region`:`account-id`:kluster/`cluster-name`/`cluster-uuid`
Topik	arn:aws:kafka:`region`:`account-id`:topik/`cluster-name`/`cluster-uuid`/`topic-name`
Grup	arn:aws:kafka:`region`:`account-id`:kelompok/`cluster-name`/`cluster-uuid`/`group-name`
ID Transaksional	arn:aws:kafka:`region`:`account-id`:transaksional-id/`cluster-name`/`cluster-uuid`/`transactional-id`

Anda dapat menggunakan wildcard asterisk (*) beberapa kali di mana saja di bagian ARN yang muncul setelah:cluster/,, :topic/:group/, dan. :transactional-id/ Berikut ini adalah beberapa contoh bagaimana Anda dapat menggunakan wildcard asterisk (*) untuk merujuk ke beberapa sumber daya:

arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/*: semua topik di cluster mana pun bernama MyTestCluster, terlepas dari klasterUUID.
arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/abcd1234-0123-abcd-5678-1234abcd-1/*_test: semua topik yang namanya diakhiri dengan “_test” di cluster yang namanya MyTestCluster dan yang UUID abcd1234-0123-abcd-5678-1234abcd-1.
arn:aws:kafka:us-east-1:0123456789012:transactional-id/MyTestCluster/*/5555abcd-1111-abcd-1234-abcd1234-1: semua transaksi yang ID transaksionalnya adalah 5555abcd-1111-abcd-1234-abcd1234-1, di semua inkarnasi klaster yang disebutkan di akun Anda. MyTestCluster Ini berarti bahwa jika Anda membuat klaster bernama MyTestCluster, lalu menghapusnya, dan kemudian membuat klaster lain dengan nama yang sama, Anda dapat menggunakan sumber daya ini ARN untuk mewakili ID transaksi yang sama pada kedua cluster. Namun, cluster yang dihapus tidak dapat diakses.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Dapatkan broker bootstrap untuk kontrol IAM akses

Kasus penggunaan umum untuk kebijakan otorisasi klien