翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SASL/SCRAM、mTLS、カスタマーマネージドキーに対する追加の SER アクセス許可
AWSMSKReplicatorExecutionRole マネージドポリシーは、IAM 認証のクラスター、トピック、コンシューマーグループのアクセス許可を対象としています。SASL/SCRAM または mTLS 認証を使用するクラスターとの間でレプリケートする場合 (セルフマネージド Apache Kafka クラスターから移行する場合など)、またはシークレットがカスタマーマネージドキー (CMK) で暗号化されている場合、サービス実行ロールに追加のインラインアクセス許可をアタッチする必要があります。
管理ポリシーに加えて、以下のスニペットを使用します。セットアップに一致するシナリオを選択します。
SASL/SCRAM シークレット (TLS ルート CA シークレットの有無にかかわらず)
SCRAM 認証情報と (オプションで) プライベート CA 証明書を読み取るアクセス許可を SER に付与します AWS Secrets Manager。を SCRAM シークレット ARN <saslSecretArn>に置き換え、 を CA 証明書を保持するシークレット<privateCaCertSecretArn>に置き換えます (パブリックに信頼された証明書を使用する場合は 2 番目の ARN を省略します)。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "<saslSecretArn>", "<privateCaCertSecretArn>" ] } ] }
mTLS シークレット (TLS ルート CA シークレットの有無にかかわらず)
クライアント証明書とプライベートキーを読み取るアクセス許可を SER に付与します AWS Secrets Manager。を mTLS シークレットの ARN <mtlsSecretArn>に置き換え、 をサーバー CA 証明書を保持するシークレット<privateCaCertSecretArn>に置き換えます (パブリックに信頼された証明書を使用する場合は 2 番目の ARN を省略します)。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "<mtlsSecretArn>", "<privateCaCertSecretArn>" ] } ] }
カスタマーマネージドキーで暗号化されたシークレット
シークレットが AWSマネージドキーではなく CMK で暗号化されている場合は、CMK kms:Decryptにも を付与します。を CMK ARN <customerManagedKeyArn>に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "<secretArn>", "<privateCaCertSecretArn>" ] }, { "Sid": "KmsPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": [ "<customerManagedKeyArn>" ] } ] }
注記
MSK Connect 設定プロバイダーのアクセス許可と一致する範囲を広げたい場合は、個々のシークレット ARNs の代わりに をリソースパターンarn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_*として使用できます。