Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione delle autorizzazioni Lambda per le mappature delle sorgenti degli eventi Amazon MSK
Per accedere al cluster Amazon MSK, la mappatura delle funzioni e delle sorgenti degli eventi necessita delle autorizzazioni per eseguire varie azioni dell'API Amazon MSK. [Aggiungi queste autorizzazioni al ruolo di esecuzione della funzione.](lambda-intro-execution-role.md) Se gli utenti devono accedere, aggiungi le autorizzazioni richieste alla politica di identità per l'utente o il ruolo.
La policy gestita dai [AWSLambdaMSKExecutionruoli](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaMSKExecutionRole.html) contiene le autorizzazioni minime richieste per le mappature delle sorgenti degli eventi Amazon MSK Lambda. Per semplificare il processo di autorizzazione, puoi:
+ Allega la politica di gestione dei [AWSLambdaMSKExecutionruoli](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaMSKExecutionRole.html) al tuo ruolo di esecuzione.
+ Lascia che la console Lambda generi le autorizzazioni per te. Quando [crei una mappatura dell'origine degli eventi Amazon MSK nella console, Lambda valuta il](msk-esm-create.md#msk-console) tuo ruolo di esecuzione e ti avvisa se mancano delle autorizzazioni. Scegli **Genera autorizzazioni** per aggiornare automaticamente il tuo ruolo di esecuzione. Questo non funziona se hai creato o modificato manualmente i criteri relativi ai ruoli di esecuzione o se i criteri sono associati a più ruoli. Tieni presente che potrebbero essere ancora necessarie autorizzazioni aggiuntive nel ruolo di esecuzione quando utilizzi funzionalità avanzate come [On-Failure Destination](kafka-on-failure.md) o [AWS Glue Schema](services-consume-kafka-events.md) Registry.
**Topics**
+ [Autorizzazioni richieste](#msk-required-permissions)
+ [Autorizzazioni facoltative](#msk-optional-permissions)
## Autorizzazioni richieste
Il ruolo di esecuzione della funzione Lambda deve avere le seguenti autorizzazioni richieste per le mappature delle sorgenti degli eventi Amazon MSK. [Queste autorizzazioni sono incluse nella politica di gestione dei ruoli. AWSLambda MSKExecution](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaMSKExecutionRole.html)
### CloudWatch Registra le autorizzazioni
Le seguenti autorizzazioni consentono a Lambda di creare e archiviare log in CloudWatch Amazon Logs.
+ [registri: CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)
+ [registri: CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html)
+ [registri: PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)
### autorizzazioni del cluster MSK
Le seguenti autorizzazioni consentono a Lambda di accedere al tuo cluster Amazon MSK per tuo conto:
+ [kafka: DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html)
+ [kafka: V2 DescribeCluster](https://docs.aws.amazon.com/MSK/2.0/APIReference/v2-clusters-clusterarn.html)
+ [kafka: GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html)
[Ti consigliamo di usare [kafka: DescribeCluster V2 invece di kafka:](https://docs.aws.amazon.com/MSK/2.0/APIReference/v2-clusters-clusterarn.html). DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html) L'autorizzazione v2 funziona sia con i cluster Amazon MSK con provisioning che senza server. Nella tua policy ti serve solo una di queste autorizzazioni.
### Autorizzazioni VPC
Le seguenti autorizzazioni consentono a Lambda di creare e gestire interfacce di rete durante la connessione al cluster Amazon MSK:
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html)
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html)
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html)
+ [ec2: DeleteNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteNetworkInterface.html)
+ [ec2: DescribeSubnets](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSubnets.html)
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html)
## Autorizzazioni facoltative
La funzione Lambda potrebbe richiedere autorizzazioni per:
+ Accedi ai cluster Amazon MSK con più account. Per le mappature delle sorgenti degli eventi tra account, è necessario [kafka](https://docs.aws.amazon.com/msk/1.0/apireference/vpc-connection-arn.html): nel ruolo di esecuzione. DescribeVpcConnection [Un preside IAM che crea una mappatura delle sorgenti degli eventi tra account ha bisogno di kafka:. ListVpcConnections](https://docs.aws.amazon.com/msk/1.0/apireference/vpc-connections.html)
+ [Accedi al tuo segreto SCRAM, se utilizzi l'autenticazione SASL/SCRAM.](msk-cluster-auth.md#msk-sasl-scram) Ciò consente alla funzione di utilizzare un nome utente e una password per connettersi a Kafka.
+ Descrivi il tuo segreto di Secrets Manager, se utilizzi l' SASL/SCRAM [autenticazione MTLS](msk-cluster-auth.md#msk-mtls). Ciò consente alla funzione di recuperare le credenziali o i certificati necessari per connessioni sicure.
+ Accedi alla tua chiave gestita AWS KMS dal cliente, se il tuo Gestione dei segreti AWS segreto è crittografato con una chiave gestita AWS KMS dal cliente.
+ Accedi ai segreti del registro degli schemi, se utilizzi un registro degli schemi con autenticazione:
+ Per il registro AWS Glue degli schemi: le esigenze `glue:GetRegistry` e le `glue:GetSchemaVersion` autorizzazioni della funzione. Questi consentono alla funzione di cercare e utilizzare le regole di formato dei messaggi memorizzate in AWS Glue.
+ Per [Confluent Schema Registry](https://docs.confluent.io/platform/current/schema-registry/security/index.html) con `BASIC_AUTH` o`CLIENT_CERTIFICATE_TLS_AUTH`: La tua funzione richiede l'`secretsmanager:GetSecretValue`autorizzazione per il segreto contenente le credenziali di autenticazione. Ciò consente alla funzione di recuperare i certificati username/password o necessari per accedere al Confluent Schema Registry.
+ Per i certificati CA privati: la tua funzione richiede secretsmanager: GetSecretValue autorizzazione per il segreto contenente il certificato. Ciò consente alla funzione di verificare l'identità dei registri dello schema che utilizzano certificati personalizzati.
+ Accedi ai gruppi di consumatori del cluster Kafka e ai messaggi di sondaggio relativi all'argomento, se utilizzi l'autenticazione IAM per la mappatura delle sorgenti degli eventi.
Queste corrispondono alle seguenti autorizzazioni richieste:
+ [kafka: ListScramSecrets](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-scram-secrets.html) - Consente l'elenco dei segreti SCRAM per l'autenticazione Kafka
+ [secretsmanager: GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html) - Consente il recupero di segreti da Secrets Manager
+ [KMS:Decrypt - Permette la decrittografia](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) dei dati crittografati utilizzando AWS KMS
+ [glue: - Consente l'accesso al registro degli schemi GetRegistry](https://docs.aws.amazon.com/glue/latest/webapi/API_GetRegistry.html) AWS Glue
+ [glue: GetSchemaVersion](https://docs.aws.amazon.com/glue/latest/webapi/API_GetSchemaVersion.html) - Consente il recupero di versioni specifiche dello schema dal AWS Glue registro degli schemi
+ [Kafka-Cluster:Connect - Concede il permesso di connettersi e autenticarsi al cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_apachekafkaapisforamazonmskclusters.html)
+ [kafka-cluster: AlterGroup - Concede il permesso di unirsi a gruppi su un cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_apachekafkaapisforamazonmskclusters.html), equivalente all'ACL READ GROUP di Apache Kafka
+ [kafka-cluster: DescribeGroup - Concede il permesso di descrivere i gruppi su un cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_apachekafkaapisforamazonmskclusters.html), equivalente all'ACL DESCRIBE GROUP di Apache Kafka
+ [kafka-cluster: DescribeTopic - Concede il permesso di descrivere argomenti su un cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_apachekafkaapisforamazonmskclusters.html), equivalente all'ACL DESCRIBE TOPIC di Apache Kafka
+ [kafka-cluster: ReadData - Concede il permesso di leggere i dati dagli argomenti su un cluster](https://docs.aws.amazon.com/service-authorization/latest/reference/list_apachekafkaapisforamazonmskclusters.html), equivalente all'ACL READ TOPIC di Apache Kafka
Inoltre, se desideri inviare i record delle chiamate non riuscite a una destinazione in caso di errore, avrai bisogno delle seguenti autorizzazioni a seconda del tipo di destinazione:
+ Per le destinazioni Amazon SQS: [sqs: SendMessage](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SendMessage.html) - Consente l'invio di messaggi a una coda Amazon SQS
+ Per le destinazioni Amazon SNS: [SNS:Publish - Consente la pubblicazione](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) di messaggi su un argomento Amazon SNS
+ Per le destinazioni dei bucket Amazon S3: s3: PutObject e [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) - Abilita la scrittura e l'elenco di oggetti in un bucket Amazon S3
Per la risoluzione degli errori di autenticazione e autorizzazione, consulta. [Risoluzione degli errori di mappatura delle sorgenti degli eventi Kafka](with-kafka-troubleshoot.md)