Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagian ini merangkum izin yang diperlukan untuk klien dan cluster menggunakan fitur konektivitas pribadi multi-VPC. Konektivitas pribadi multi-VPC mengharuskan admin klien untuk membuat izin pada setiap klien yang akan memiliki koneksi VPC terkelola ke cluster MSK. Ini juga membutuhkan admin cluster MSK untuk mengaktifkan PrivateLink konektivitas pada cluster MSK dan memilih skema otentikasi untuk mengontrol akses ke cluster.
Jenis autentikasi cluster dan izin akses topik
Aktifkan fitur konektivitas pribadi multi-VPC untuk skema autentikasi yang diaktifkan untuk kluster MSK Anda. Lihat Persyaratan dan batasan untuk konektivitas pribadi multi-VPC. Jika Anda mengonfigurasi cluster MSK Anda untuk menggunakan skema autentikasi SASL/SCRAM, properti Apache Kafka adalah wajib. ACLs allow.everyone.if.no.acl.found=false Setelah Anda menyetel Apache Kafka ACLs untuk klaster Anda, perbarui konfigurasi cluster agar properti allow.everyone.if.no.acl.found disetel ke false untuk cluster. Untuk informasi tentang cara memperbarui konfigurasi klaster, lihatOperasi konfigurasi broker.
Izin kebijakan klaster lintas akun
Jika klien Kafka berada di AWS akun yang berbeda dari klaster MSK, lampirkan kebijakan berbasis cluster ke kluster MSK yang mengotorisasi pengguna root klien untuk konektivitas lintas akun. Anda dapat mengedit kebijakan klaster multi-VPC menggunakan editor kebijakan IAM di konsol MSK (Pengaturan keamanan klaster > Edit kebijakan klaster), atau gunakan yang berikut ini APIs untuk mengelola kebijakan klaster:
- PutClusterPolicy
-
Melampirkan kebijakan klaster ke cluster. Anda dapat menggunakan API ini untuk membuat atau memperbarui kebijakan klaster MSK yang ditentukan. Jika Anda memperbarui kebijakan, bidang currentVersion diperlukan dalam payload permintaan.
- GetClusterPolicy
-
Mengambil teks JSON dari dokumen kebijakan cluster yang dilampirkan ke cluster.
- DeleteClusterPolicy
-
Menghapus kebijakan klaster.
Berikut ini adalah contoh JSON untuk kebijakan cluster dasar, mirip dengan yang ditampilkan di editor kebijakan IAM konsol MSK. Kebijakan berikut memberikan izin untuk akses tingkat klaster, topik, dan grup.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"kafka-cluster:*",
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2",
"arn:aws:kafka:us-east-1:123456789012:topic/testing/*",
"arn:aws:kafka:us-east-1:123456789012:group/testing/*"
]
}]
}Izin klien untuk konektivitas pribadi multi-VPC ke kluster MSK
Untuk mengatur konektivitas pribadi multi-VPC antara klien Kafka dan kluster MSK, klien memerlukan kebijakan identitas terlampir yang memberikan izin untukkafka:CreateVpcConnection, ec2:CreateTags dan tindakan pada klien. ec2:CreateVPCEndpoint Sebagai referensi, berikut ini adalah contoh JSON untuk kebijakan identitas klien dasar.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint"
],
"Resource": "*"
}
]
}