Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Semantica delle azioni e delle risorse relative alla politica di autorizzazione IAM
In questa sezione viene illustrata la semantica degli elementi di operazione e risorsa che è possibile utilizzare in una policy di autorizzazione IAM. Per un esempio di policy, consulta Crea politiche di autorizzazione per il ruolo IAM.
Azioni relative alla politica di autorizzazione
La tabella seguente elenca le operazioni che è possibile includere in una policy di autorizzazione quando si utilizza il Controllo degli accessi IAM per Amazon MSK. Quando includi nella tua policy di autorizzazione un'operazione dalla colonna Operazione della tabella, devi includere anche le operazioni corrispondenti dalla colonna Operazioni richieste.
| Azione | Descrizione | Operazioni necessarie | Risorse obbligatorie | Applicabile ai cluster serverless |
|---|---|---|---|---|
kafka-cluster:Connect |
Concede l'autorizzazione per connettersi e autenticarsi al cluster. | Nessuno | cluster | Sì |
kafka-cluster:DescribeCluster |
Concede l'autorizzazione per descrivere vari aspetti del cluster, equivalente all'ACL DESCRIBE CLUSTER di Apache Kafka. |
|
cluster | Sì |
kafka-cluster:AlterCluster |
Concede l'autorizzazione per modificare vari aspetti del cluster, equivalente all'ACL ALTER CLUSTER di Apache Kafka. |
|
cluster | No |
kafka-cluster:DescribeClusterDynamicConfiguration |
Concede l'autorizzazione per descrivere la configurazione dinamica di un cluster, equivalente all'ACL DESCRIBE_CONFIGS CLUSTER di Apache Kafka. |
|
cluster | No |
kafka-cluster:AlterClusterDynamicConfiguration |
Concede l'autorizzazione per modificare la configurazione dinamica di un cluster, equivalente all'ACL ALTER_CONFIGS CLUSTER di Apache Kafka. |
|
cluster | No |
kafka-cluster:WriteDataIdempotently |
Concede l'autorizzazione per scrivere dati in modo idempotente su un cluster, equivalente all'ACL IDEMPOTENT_WRITE CLUSTER di Apache Kafka. |
|
cluster | Sì |
kafka-cluster:CreateTopic |
Concede l'autorizzazione per creare argomenti in un cluster, equivalente all'ACL CREATE CLUSTER/TOPIC di Apache Kafka. |
|
topic | Sì |
kafka-cluster:DescribeTopic |
Concede l'autorizzazione per descrivere gli argomenti in un cluster, equivalente all'ACL DESCRIBE TOPIC di Apache Kafka. |
|
topic | Sì |
kafka-cluster:AlterTopic |
Concede l'autorizzazione per modificare gli argomenti in un cluster, equivalente all'ACL ALTER TOPIC di Apache Kafka. |
|
topic | Sì |
kafka-cluster:DeleteTopic |
Concede l'autorizzazione per eliminare gli argomenti in un cluster, equivalente all'ACL DELETE TOPIC di Apache Kafka. |
|
topic | Sì |
kafka-cluster:DescribeTopicDynamicConfiguration |
Concede l'autorizzazione per descrivere la configurazione dinamica degli argomenti in un cluster, equivalente all'ACL DESCRIBE_CONFIGS TOPIC di Apache Kafka. |
|
topic | Sì |
kafka-cluster:AlterTopicDynamicConfiguration |
Concede l'autorizzazione per modificare la configurazione dinamica degli argomenti in un cluster, equivalente all'ACL ALTER_CONFIGS TOPIC di Apache Kafka. |
|
topic | Sì |
kafka-cluster:ReadData |
Concede l'autorizzazione per leggere i dati da argomenti in un cluster, equivalente all'ACL READ TOPIC di Apache Kafka. |
|
topic | Sì |
kafka-cluster:WriteData |
Concede l'autorizzazione per scrivere dati su argomenti in un cluster, equivalente all'ACL WRITE TOPIC di Apache Kafka |
|
topic | Sì |
kafka-cluster:DescribeGroup |
Concede l'autorizzazione per descrivere i gruppi in un cluster, equivalente all'ACL DESCRIBE GROUP di Apache Kafka. |
|
gruppo | Sì |
kafka-cluster:AlterGroup |
Concede l'autorizzazione per unire dei gruppi all'interno di un cluster, equivalente all'ACL READ GROUP di Apache Kafka. |
|
gruppo | Sì |
kafka-cluster:DeleteGroup |
Concede l'autorizzazione per eliminare gruppi all'interno di un cluster, equivalente all'ACL DELETE GROUP di Apache Kafka. |
|
gruppo | Sì |
kafka-cluster:DescribeTransactionalId |
Concede l'autorizzazione a descrivere le transazioni IDs su un cluster, equivalente all'ACL DESCRIBE TRANSACTIONAL_ID di Apache Kafka. |
|
transactional-id | Sì |
kafka-cluster:AlterTransactionalId |
Concede l'autorizzazione a modificare le transazioni su un cluster, equivalente all'ACL WRITE IDs TRANSACTIONAL_ID di Apache Kafka. |
|
transactional-id | Sì |
In un'operazione, dopo i due punti, è possibile utilizzare qualsiasi quantità di caratteri jolly asterisco (*). Di seguito vengono mostrati gli esempi.
kafka-cluster:*Topicsta perkafka-cluster:CreateTopic,kafka-cluster:DescribeTopic,kafka-cluster:AlterTopicekafka-cluster:DeleteTopic. Non includekafka-cluster:DescribeTopicDynamicConfigurationokafka-cluster:AlterTopicDynamicConfiguration.-
kafka-cluster:*indica tutte le autorizzazioni.
Risorse relative alla politica di autorizzazione
La tabella seguente mostra i quattro tipi di risorse che è possibile utilizzare in una policy di autorizzazione quando si utilizza il Controllo degli accessi IAM per Amazon MSK. Puoi ottenere il cluster Amazon Resource Name (ARN) da o utilizzando l'DescribeClusterAPI AWS Management Console o il comando AWS CLI describe-cluster
| Risorsa | Formato ARN |
|---|---|
| Cluster | arn:aws:kafka: :cluster//regionaccount-idcluster-namecluster-uuid |
| Argomento | arn:aws:kafka: region ::argomento///account-idcluster-namecluster-uuidtopic-name |
| Group (Gruppo) | arn:aws:kafka: region :group///account-idcluster-namecluster-uuidgroup-name |
| ID transazionale | arn:aws:kafka: region ::identificativo-transazione//account-idcluster-namecluster-uuidtransactional-id |
È possibile utilizzare qualsiasi quantità di caratteri jolly asterisco (*) in qualsiasi punto dell'ARN successivo a :cluster/, :topic/, :group/ e :transactional-id/. Di seguito sono riportati alcuni esempi di come utilizzare il carattere jolly asterisco (*) per fare riferimento a più risorse:
-
arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/*: tutti gli argomenti di qualsiasi cluster denominato, indipendentemente dall'UUID del cluster. MyTestCluster -
arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/abcd1234-0123-abcd-5678-1234abcd-1/*_test: tutti gli argomenti il cui nome termina con «_test» nel cluster il cui nome è MyTestCluster e il cui UUID è abcd1234-0123-abcd-5678-1234abcd-1. arn:aws:kafka:us-east-1:0123456789012:transactional-id/MyTestCluster/*/5555abcd-1111-abcd-1234-abcd1234-1: tutte le transazioni il cui ID transazionale è MyTestCluster 5555abcd-1111-abcd-1234-abcd1234-1, in tutte le incarnazioni di un cluster denominato nel tuo account. Ciò significa che se si crea un cluster denominato MyTestCluster, quindi lo si elimina e quindi si crea un altro cluster con lo stesso nome, è possibile utilizzare questa risorsa ARN per rappresentare lo stesso ID delle transazioni su entrambi i cluster. Tuttavia, il cluster eliminato non è accessibile.
