Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tindakan, sumber daya, dan kunci kondisi untuk Amazon Managed Streaming for Apache Kafka
Amazon Managed Streaming for Apache Kafka (awalan layanankafka:) menyediakan sumber daya, tindakan, dan kunci konteks kondisi khusus layanan berikut untuk digunakan dalam kebijakan izin. IAM
Referensi:
-
Pelajari cara mengonfigurasi layanan ini.
-
Lihat daftar APIoperasi yang tersedia untuk layanan ini.
-
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan IAM izin.
Topik
Tindakan yang ditentukan oleh Amazon Managed Streaming for Apache Kafka
Anda dapat menentukan tindakan berikut dalam Action elemen pernyataan IAM kebijakan. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Ketika Anda menggunakan tindakan dalam kebijakan, Anda biasanya mengizinkan atau menolak akses ke API operasi atau CLI perintah dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom menyertakan jenis sumber daya, maka Anda dapat menentukan ARN jenis itu dalam pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam IAM kebijakan, Anda harus menyertakan pola ARN atau untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.
Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.
catatan
Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.
Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.
| Tindakan | Deskripsi | Tingkat akses | Jenis sumber daya (*diperlukan) | Kunci syarat | Tindakan bergantung |
|---|---|---|---|---|---|
| BatchAssociateScramSecret | Memberikan izin untuk mengaitkan satu atau beberapa Rahasia Scram dengan klaster Amazon MSK | Tulis |
kms:CreateGrant kms:RetireGrant |
||
| BatchDisassociateScramSecret | Memberikan izin untuk memisahkan satu atau beberapa Rahasia Scram dari kluster Amazon MSK | Tulis |
kms:RetireGrant |
||
| CreateCluster | Memberikan izin untuk membuat klaster MSK | Tulis |
ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcs iam:AttachRolePolicy iam:CreateServiceLinkedRole iam:PutRolePolicy kms:CreateGrant kms:DescribeKey |
||
| CreateClusterV2 | Memberikan izin untuk membuat klaster MSK | Tulis |
ec2:CreateTags ec2:CreateVpcEndpoint ec2:DeleteVpcEndpoints ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcAttribute ec2:DescribeVpcEndpoints ec2:DescribeVpcs iam:AttachRolePolicy iam:CreateServiceLinkedRole iam:PutRolePolicy kms:CreateGrant kms:DescribeKey |
||
| CreateConfiguration | Memberikan izin untuk membuat konfigurasi MSK | Tulis | |||
| CreateReplicator | Memberikan izin untuk membuat replikator MSK | Tulis |
ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcs iam:AttachRolePolicy iam:CreateServiceLinkedRole iam:PassRole iam:PutRolePolicy kafka:DescribeClusterV2 kafka:GetBootstrapBrokers |
||
| CreateVpcConnection | Memberikan izin untuk membuat koneksi MSK VPC | Tulis |
ec2:CreateTags ec2:CreateVpcEndpoint ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcAttribute ec2:DescribeVpcEndpoints ec2:DescribeVpcs iam:AttachRolePolicy iam:CreateServiceLinkedRole iam:PutRolePolicy |
||
| DeleteCluster | Memberikan izin untuk menghapus klaster MSK | Tulis |
ec2:DeleteVpcEndpoints ec2:DescribeVpcAttribute ec2:DescribeVpcEndpoints |
||
| DeleteClusterPolicy | Memberikan izin untuk menghapus kebijakan berbasis sumber daya klaster | Tulis | |||
| DeleteConfiguration | Memberikan izin untuk menghapus konfigurasi yang ditentukan MSK | Tulis | |||
| DeleteReplicator | Memberikan izin untuk menghapus replikator MSK | Tulis | |||
| DeleteVpcConnection | Memberikan izin untuk menghapus koneksi MSK VPC | Tulis |
ec2:DeleteVpcEndpoints ec2:DescribeVpcEndpoints |
||
| DescribeCluster | Memberikan izin untuk mendeskripsikan klaster MSK | Baca | |||
| DescribeClusterOperation | Memberikan izin untuk menggambarkan operasi cluster yang ditentukan oleh yang diberikan ARN | Baca | |||
| DescribeClusterOperationV2 | Memberikan izin untuk menggambarkan operasi cluster yang ditentukan oleh yang diberikan ARN | Baca | |||
| DescribeClusterV2 | Memberikan izin untuk mendeskripsikan klaster MSK | Baca | |||
| DescribeConfiguration | Memberikan izin untuk mendeskripsikan konfigurasi MSK | Baca | |||
| DescribeConfigurationRevision | Memberikan izin untuk menjelaskan revisi MSK konfigurasi | Baca | |||
| DescribeReplicator | Memberikan izin untuk mendeskripsikan MSK replikator | Baca | |||
| DescribeVpcConnection | Memberikan izin untuk menggambarkan koneksi MSK VPC | Baca | |||
| GetBootstrapBrokers | Memberikan izin untuk mendapatkan detail koneksi untuk broker dalam sebuah cluster MSK | Baca | |||
| GetClusterPolicy | Memberikan izin untuk mendeskripsikan kebijakan berbasis sumber daya klaster | Baca | |||
| GetCompatibleKafkaVersions | Memberikan izin untuk mendapatkan daftar versi Apache Kafka yang dapat Anda perbarui cluster MSK | Daftar | |||
| ListClientVpcConnections | Memberikan izin untuk mencantumkan semua MSK VPC koneksi yang dibuat untuk klaster | Daftar | |||
| ListClusterOperations | Memberikan izin untuk mengembalikan daftar semua operasi yang telah dilakukan pada cluster yang ditentukan MSK | Daftar | |||
| ListClusterOperationsV2 | Memberikan izin untuk mengembalikan daftar semua operasi yang telah dilakukan pada cluster yang ditentukan MSK | Daftar | |||
| ListClusters | Memberikan izin untuk membuat daftar semua MSK cluster di akun ini | Daftar | |||
| ListClustersV2 | Memberikan izin untuk membuat daftar semua MSK cluster di akun ini | Daftar | |||
| ListConfigurationRevisions | Memberikan izin untuk membuat daftar semua revisi untuk MSK konfigurasi di akun ini | Daftar | |||
| ListConfigurations | Memberikan izin untuk membuat daftar semua MSK konfigurasi di akun ini | Daftar | |||
| ListKafkaVersions | Memberikan izin untuk mencantumkan semua versi Apache Kafka yang didukung oleh Amazon MSK | Daftar | |||
| ListNodes | Memberikan izin untuk mendaftar broker dalam sebuah cluster MSK | Daftar | |||
| ListReplicators | Memberikan izin untuk mencantumkan semua MSK replikator di akun ini | Daftar | |||
| ListScramSecrets | Memberikan izin untuk membuat daftar Rahasia Scram yang terkait dengan cluster Amazon MSK | Daftar | |||
| ListTagsForResource | Memberikan izin untuk mencantumkan tag sumber daya MSK | Baca | |||
| ListVpcConnections | Memberikan izin untuk membuat daftar semua MSK VPC koneksi yang digunakan akun ini | Daftar | |||
| PutClusterPolicy | Memberikan izin untuk membuat atau memperbarui kebijakan berbasis sumber daya untuk klaster | Tulis | |||
| RebootBroker | Memberikan izin untuk me-reboot broker | Tulis | |||
| RejectClientVpcConnection | Memberikan izin untuk menolak koneksi MSK VPC | Tulis | |||
| TagResource | Memberikan izin untuk menandai sumber daya MSK | Penandaan | |||
| UntagResource | Memberikan izin untuk menghapus tag dari sumber daya MSK | Penandaan | |||
| UpdateBrokerCount | Memberikan izin untuk memperbarui jumlah broker cluster MSK | Tulis | |||
| UpdateBrokerStorage | Memberikan izin untuk memperbarui ukuran penyimpanan broker cluster MSK | Tulis | |||
| UpdateBrokerType | Memberikan izin untuk memperbarui jenis broker dari klaster Amazon MSK | Tulis | |||
| UpdateClusterConfiguration | Memberikan izin untuk memperbarui konfigurasi cluster MSK | Tulis | |||
| UpdateClusterKafkaVersion | Memberikan izin untuk memperbarui MSK cluster ke versi Apache Kafka yang ditentukan | Tulis | |||
| UpdateConfiguration | Memberikan izin untuk membuat revisi baru konfigurasi MSK | Tulis | |||
| UpdateConnectivity | Memberikan izin untuk memperbarui pengaturan konektivitas untuk cluster MSK | Tulis |
ec2:DescribeRouteTables ec2:DescribeSubnets |
||
| UpdateMonitoring | Memberikan izin untuk memperbarui pengaturan pemantauan untuk cluster MSK | Tulis | |||
| UpdateReplicationInfo | Memberikan izin untuk memperbarui info replikasi replikator MSK | Tulis | |||
| UpdateSecurity | Memberikan izin untuk memperbarui pengaturan keamanan untuk cluster MSK | Tulis |
kms:RetireGrant |
||
| UpdateStorage | Memberikan izin untuk memperbarui EBS penyimpanan (ukuran atau throughput yang disediakan) yang terkait dengan MSK broker atau mengatur mode penyimpanan klaster ke TIERED | Tulis |
Jenis sumber daya yang ditentukan oleh Amazon Managed Streaming for Apache Kafka
Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam Resource elemen pernyataan kebijakan IAM izin. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.
| Jenis sumber daya | ARN | Kunci syarat |
|---|---|---|
| cluster |
arn:${Partition}:kafka:${Region}:${Account}:cluster/${ClusterName}/${Uuid}
|
|
| configuration |
arn:${Partition}:kafka:${Region}:${Account}:configuration/${ConfigurationName}/${Uuid}
|
|
| vpc-connection |
arn:${Partition}:kafka:${Region}:${VpcOwnerAccount}:vpc-connection/${ClusterOwnerAccount}/${ClusterName}/${Uuid}
|
|
| replicator |
arn:${Partition}:kafka:${Region}:${Account}:replicator/${ReplicatorName}/${Uuid}
|
|
| topic |
arn:${Partition}:kafka:${Region}:${Account}:topic/${ClusterName}/${ClusterUuid}/${TopicName}
|
|
| group |
arn:${Partition}:kafka:${Region}:${Account}:group/${ClusterName}/${ClusterUuid}/${GroupName}
|
|
| transactional-id |
arn:${Partition}:kafka:${Region}:${Account}:transactional-id/${ClusterName}/${ClusterUuid}/${TransactionalId}
|
Kunci kondisi untuk Amazon Managed Streaming for Apache Kafka
Amazon Managed Streaming for Apache Kafka Kafka mendefinisikan kunci kondisi berikut yang dapat digunakan dalam elemen kebijakanCondition. IAM Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.
| Kunci syarat | Deskripsi | Jenis |
|---|---|---|
| aws:RequestTag/${TagKey} | Memfilter akses dengan adanya pasangan nilai kunci tag dalam permintaan | String |
| aws:ResourceTag/${TagKey} | Memfilter akses dengan pasangan nilai kunci tag yang dilampirkan ke sumber daya | String |
| aws:TagKeys | Memfilter akses dengan adanya kunci tag dalam permintaan | ArrayOfString |
| kafka:publicAccessEnabled | Memfilter akses dengan adanya akses publik yang diaktifkan dalam permintaan | Bool |
