IAM 承認ポリシーアクションとリソースのセマンティクス

このセクションでは、IAM承認ポリシーで使用できるアクションとリソース要素のセマンティクスについて説明します。ポリシーの例については、「IAM ロールの承認ポリシーを作成する」を参照してください。

認証ポリシーアクション

次の表に、Amazon のIAMアクセスコントロールを使用する際に承認ポリシーに含めることができるアクションを示しますMSK。表のアクション列のアクションを認可ポリシーに含める場合は、必須アクション列の対応するアクションも含める必要があります。

[アクション]	説明	必須アクション	必要なリソース	サーバーレスクラスターに適用可能
`kafka-cluster:Connect`	クラスターに接続して認証するためのアクセス許可を付与します。	なし	クラスター	可能
`kafka-cluster:DescribeCluster`	Apache Kafka のに相当する、クラスターのさまざまな側面を記述するアクセス許可を付与しますDESCRIBECLUSTERACL。	`kafka-cluster:Connect`	クラスター	可能
`kafka-cluster:AlterCluster`	Apache Kafka のに相当する、クラスターのさまざまな側面を変更するアクセス許可を付与しますALTERCLUSTERACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeCluster`	クラスター	不可
`kafka-cluster:DescribeClusterDynamicConfiguration`	Apache Kafka の DESCRIBE_CONFIGS に相当するクラスターの動的設定を記述するアクセス許可を付与しますCLUSTERACL。	`kafka-cluster:Connect`	クラスター	不可
`kafka-cluster:AlterClusterDynamicConfiguration`	Apache Kafka の ALTER_CONFIGS に相当するクラスターの動的設定を変更するアクセス許可を付与しますCLUSTERACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeClusterDynamicConfiguration`	クラスター	不可
`kafka-cluster:WriteDataIdempotently`	Apache Kafka の IDEMPOTENT_WRITE に相当するデータをクラスターに冪力的に書き込むアクセス許可を付与しますCLUSTERACL。	`kafka-cluster:Connect` `kafka-cluster:WriteData`	クラスター	可能
`kafka-cluster:CreateTopic`	Apache Kafka の CREATE CLUSTER/TOPIC に相当する、クラスターにトピックを作成するアクセス許可を付与しますACL。	`kafka-cluster:Connect`	トピック	可能
`kafka-cluster:DescribeTopic`	Apache Kafka のに相当するクラスター上のトピックを記述するアクセス許可を付与しますDESCRIBETOPICACL。	`kafka-cluster:Connect`	トピック	可能
`kafka-cluster:AlterTopic`	Apache Kafka のに相当するクラスターのトピックを変更するアクセス許可を付与しますALTERTOPICACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	トピック	可能
`kafka-cluster:DeleteTopic`	Apache Kafka のに相当するクラスター上のトピックを削除するアクセス許可を付与しますDELETETOPICACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	トピック	可能
`kafka-cluster:DescribeTopicDynamicConfiguration`	Apache Kafka の DESCRIBE_CONFIGS に相当する、クラスター上のトピックの動的設定を記述するアクセス許可を付与しますTOPICACL。	`kafka-cluster:Connect`	トピック	可能
`kafka-cluster:AlterTopicDynamicConfiguration`	Apache Kafka の ALTER_CONFIGS に相当する、クラスター上のトピックの動的設定を変更するアクセス許可を付与しますTOPICACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeTopicDynamicConfiguration`	トピック	可能
`kafka-cluster:ReadData`	Apache Kafka のに相当する、クラスター上のトピックからデータを読み取るアクセス許可を付与しますREADTOPICACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic` `kafka-cluster:AlterGroup`	トピック	可能
`kafka-cluster:WriteData`	Apache Kafka の WRITE TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	トピック	可能
`kafka-cluster:DescribeGroup`	Apache Kafka のに相当するクラスター上のグループを記述するアクセス許可を付与しますDESCRIBEGROUPACL。	`kafka-cluster:Connect`	グループ	可能
`kafka-cluster:AlterGroup`	Apache Kafka のに相当するクラスター上のグループに参加するアクセス許可を付与しますREADGROUPACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeGroup`	グループ	可能
`kafka-cluster:DeleteGroup`	Apache Kafka のに相当するクラスター上のグループを削除するアクセス許可を付与しますDELETEGROUPACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeGroup`	グループ	可能
`kafka-cluster:DescribeTransactionalId`	Apache Kafka の DESCRIBE TRANSACTIONAL_ID に相当する、クラスターIDsでのトランザクションを記述するアクセス許可を付与しますACL。	`kafka-cluster:Connect`	transactional-id	可能
`kafka-cluster:AlterTransactionalId`	Apache Kafka の WRITE TRANSACTIONAL_ID に相当するクラスターIDsのトランザクションを変更するアクセス許可を付与しますACL。	`kafka-cluster:Connect` `kafka-cluster:DescribeTransactionalId` `kafka-cluster:WriteData`	transactional-id	可能

コロンの後のアクションでは、アスタリスク (*) ワイルドカードを何度でも使用できます。以下は例です。

kafka-cluster:*Topic は、kafka-cluster:CreateTopic、kafka-cluster:DescribeTopic、kafka-cluster:AlterTopic、および kafka-cluster:DeleteTopic の略です。kafka-cluster:DescribeTopicDynamicConfiguration や kafka-cluster:AlterTopicDynamicConfiguration は含まれていません。
kafka-cluster:* はすべての権限を表します。

認証ポリシーリソース

次の表は、Amazon のIAMアクセスコントロールを使用する際に、承認ポリシーで使用できる 4 種類のリソースを示していますMSK。クラスターの Amazon リソースネーム (ARN) は、 AWS Management Console または describe-cluster AWS CLI コマンドを使用して、 DescribeCluster API またはから取得できます。その後、クラスターを使用してトピック、グループ、トランザクション ID ARNを構築できますARNs。認証ポリシーでリソースを指定するには、そのリソースのを使用しますARN。

リソース	ARN 形式
クラスター	arn:aws:kafka:`region`:`account-id`：クラスター/`cluster-name`/`cluster-uuid`
トピック	arn:aws:kafka:`region`:`account-id`:topic/`cluster-name`/`cluster-uuid`/`topic-name`
グループ	arn:aws:kafka:`region`:`account-id`:group/`cluster-name`/`cluster-uuid`/`group-name`
トランザクション ID	arn:aws:kafka:`region`:`account-id`:transactional-id/`cluster-name`/`cluster-uuid`/`transactional-id`

アスタリスク (*) ワイルドカードは、:cluster/、、:topic/:group/、およびの後にARN続くの部分で、任意の回数使用できます:transactional-id/。以下は、アスタリスク (*) ワイルドカードを使用して複数のリソースを参照する方法の例です。

arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/*: クラスターのに関係なく MyTestCluster、という名前のすべてのトピックUUID。
arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/abcd1234-0123-abcd-5678-1234abcd-1/*_test: 名前がで、 UUIDが abcd1234-0123-abcd-5678-1234abcd-1 MyTestCluster であるクラスターで名前が「_test」で終わるすべてのトピック。
arn:aws:kafka:us-east-1:0123456789012:transactional-id/MyTestCluster/*/5555abcd-1111-abcd-1234-abcd1234-1: トランザクション ID が 5555abcd-1111-abcd-1234-abcd1234-1 であるすべてのトランザクション。アカウント MyTestCluster でという名前のクラスターのすべての転化にわたって行われます。つまり MyTestCluster、という名前のクラスターを作成し、そのクラスターを削除してから、同じ名前で別のクラスターを作成する場合、このリソースを使用して両方のクラスターで同じトランザクション ID ARNを表すことができます。ただし、削除されたクラスターにはアクセスできません。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

IAM アクセスコントロール用のブートストラップブローカーを取得する

クライアント認証ポリシーの一般的なユースケース