Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni SER aggiuntive per SASL/SCRAM MTL e chiavi gestite dal cliente
La policy AWSMSKReplicatorExecutionRole gestita copre le autorizzazioni di cluster, argomenti e gruppi di consumatori per l'autenticazione IAM. Quando si esegue la replica da o verso un cluster che utilizza SASL/SCRAM l'autenticazione MTLS (ad esempio, durante la migrazione da un cluster Apache Kafka autogestito) o quando il segreto viene crittografato con una chiave gestita dal cliente (CMK), è necessario assegnare ulteriori autorizzazioni in linea al ruolo di esecuzione del servizio.
Utilizza gli snippet riportati di seguito oltre alla policy gestita. Scegli lo scenario che corrisponde alla tua configurazione.
SASL/SCRAM segreto (con o senza segreto TLS root CA)
Concede al SER l'autorizzazione a leggere le credenziali SCRAM e (facoltativamente) il certificato CA privato da. AWS Secrets Manager Sostituiscilo <saslSecretArn> con il tuo ARN segreto SCRAM <privateCaCertSecretArn> e con il segreto contenente il certificato CA (ometti il secondo ARN se usi un certificato pubblicamente affidabile).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "<saslSecretArn>", "<privateCaCertSecretArn>" ] } ] }
Segreto MTLS (con o senza segreto TLS root CA)
Concede al SER l'autorizzazione a leggere il certificato del client e la chiave privata da. AWS Secrets Manager Sostituiscilo <mtlsSecretArn> con l'ARN del tuo segreto mTLS e <privateCaCertSecretArn> con il segreto contenente il certificato CA del server (ometti il secondo ARN se utilizzi un certificato pubblicamente affidabile).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "<mtlsSecretArn>", "<privateCaCertSecretArn>" ] } ] }
Segreto crittografato con una chiave gestita dal cliente
Se il segreto è crittografato con una CMK anziché con la chiave AWS-managed, kms:Decrypt concedi anche la CMK. Sostituire <customerManagedKeyArn> con CMK ARN.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "<secretArn>", "<privateCaCertSecretArn>" ] }, { "Sid": "KmsPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": [ "<customerManagedKeyArn>" ] } ] }
Nota
Se si preferisce un ambito più ampio coerente con le autorizzazioni del provider di configurazione MSK Connect, è possibile utilizzare arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_* come modello di risorsa anziché singoli ARN segreti.