翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon の マネージドポリシー MSK
An AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです。 AWS. AWS マネージドポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
次の点に注意してください。 AWS マネージドポリシーは、すべての で利用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があります。 AWS を使用する のお客様。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
で定義されているアクセス許可は変更できません AWS マネージドポリシー。If AWS は、 で定義されているアクセス許可を更新します。 AWS 管理ポリシー、更新は、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、 を更新する可能性が最も高いです。 AWS 新しい のときの 管理ポリシー AWS のサービス が起動されるか、既存のサービスで新しいAPIオペレーションが使用可能になります。
詳細については、「」を参照してくださいAWSIAM ユーザーガイドの マネージドポリシー。
AWS マネージドポリシー: mazonMSKFullアクセス
このポリシーは、プリンシパルにすべての Amazon MSKアクションへのフルアクセスを許可する管理アクセス許可を付与します。このポリシーの権限は、次のようにグループ化されています。
-
Amazon アクセスMSK許可は、すべての Amazon MSKアクションを許可します。
-
アクセス
Amazon EC2許可 – このポリシーでは、 APIリクエストで渡されたリソースを検証するために必要です。これは、Amazon MSKがクラスターでリソースを正常に使用できるようにするためです。このポリシーの残りの Amazon アクセスEC2許可により、Amazon MSKは を作成できます。 AWS クラスターへの接続を可能にするために必要な リソース。 -
AWS KMSアクセス許可 – リクエストで渡されたリソースを検証するために、API呼び出し中に使用されます。これらは、Amazon MSKが Amazon MSKクラスターで渡されたキーを使用できるようにするために必要です。 -
アクセス
CloudWatch Logs, Amazon S3, and Amazon Data Firehose許可 – Amazon MSK がログ配信先に到達可能であり、ブローカーログの使用に有効であることを確認するために必要です。 アクセス
IAM許可 – Amazon MSK がアカウントでサービスにリンクされたロールを作成し、Amazon にサービス実行ロールを渡すことができるようにするには が必要ですMSK。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "kafka:*", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcAttribute", "kms:DescribeKey", "kms:CreateGrant", "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups", "S3:GetBucketPolicy", "firehose:TagDeliveryStream" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AWSMSKManaged": "true" }, "StringLike": { "aws:RequestTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSMSKManaged": "true" }, "StringLike": { "ec2:ResourceTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*", "Condition": { "StringLike": { "iam:AWSServiceName": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*", "Condition": { "StringLike": { "iam:AWSServiceName": "delivery.logs.amazonaws.com" } } } ] }
AWS マネージドポリシー: AmazonMSKReadOnlyAccess
このポリシーは、ユーザーが Amazon の情報を表示できるようにする読み取り専用アクセス許可を付与しますMSK。このポリシーがアタッチされているプリンシパルは、更新を行ったり、終了しているリソースを削除したり、新しい Amazon MSKリソースを作成したりすることはできません。例えば、これらの権限を持つプリンシパルは、自分のアカウントに関連付けられているクラスターと構成のリストを表示できますが、クラスターの構成や設定を変更することはできません。このポリシーの権限は、次のようにグループ化されています。
-
アクセス
Amazon MSK許可 — Amazon MSKリソースを一覧表示し、説明し、それらの情報を取得できます。 -
アクセス
Amazon EC2許可 – クラスターENIsに関連付けられている Amazon VPC、サブネット、セキュリティグループ、および を記述するために使用されます。 -
AWS KMSアクセス許可 — クラスターに関連付けられているキーを記述するために使用されます。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kafka:Describe*", "kafka:List*", "kafka:Get*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
AWS マネージドポリシー: KafkaServiceRolePolicy
IAM エンティティ KafkaServiceRolePolicy に をアタッチすることはできません。このポリシーは、Amazon がMSKクラスターのVPCエンドポイント (コネクタ) の管理、ネットワークインターフェイスの管理、 MSKによるクラスター認証情報の管理などのアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。 AWS Secrets Manager。 詳細については、「」を参照してくださいAmazon のサービスにリンクされたロールの使用 MSK。
AWS マネージドポリシー: AWSMSKReplicatorExecutionRole
このAWSMSKReplicatorExecutionRoleポリシーは、MSKクラスター間でデータをレプリケートするアクセス許可を Amazon MSK レプリケーターに付与します。このポリシーの権限は、次のようにグループ化されています。
-
cluster— IAM認証を使用してクラスターに接続するアクセス許可を Amazon MSK レプリケーターに付与します。また、クラスターを記述および変更するアクセス許可も付与します。 -
topic– トピックを記述、作成、変更し、トピックの動的設定を変更するアクセス許可を Amazon MSK レプリケーターに付与します。 -
consumer group– Amazon MSK レプリケーターに、コンシューマーグループを記述および変更するアクセス許可、MSKクラスターからの読み取りおよび書き込みの日付、レプリケーターによって作成された内部トピックを削除するアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ClusterPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:WriteDataIdempotently" ], "Resource": [ "arn:aws:kafka:*:*:cluster/*" ] }, { "Sid": "TopicPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:AlterCluster" ], "Resource": [ "arn:aws:kafka:*:*:topic/*/*" ] }, { "Sid": "GroupPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:*:*:group/*/*" ] } ] }
への Amazon MSK の更新 AWS 管理ポリシー
の更新に関する詳細を表示する AWS このサービスがこれらの変更の追跡を開始MSKしてからの Amazon の マネージドポリシー。
| 変更 | 説明 | 日付 |
|---|---|---|
| アクセスWriteDataIdempotently 許可が に追加 AWSMSKReplicatorExecutionRole – 既存のポリシーへの更新 |
Amazon は、MSKクラスター間のデータレプリケーションをサポートするアクセス WriteDataIdempotently 許可を AWSMSKReplicatorExecutionRole ポリシーMSKに追加しました。 |
2024 年 3 月 12 日 |
| AWSMSKReplicatorExecutionRole – 新しいポリシー |
Amazon は、Amazon MSK レプリケーターをサポートする AWSMSKReplicatorExecutionRole ポリシーMSKを追加しました。 |
2023 年 12 月 4 日 |
| mazonMSKFullアクセス — 既存のポリシーの更新 |
Amazon は、Amazon MSK レプリケーターをサポートするアクセス許可MSKを追加しました。 |
2023 年 9 月 28 日 |
| KafkaServiceRolePolicy – 既存ポリシーへの更新 |
Amazon は、マルチVPCプライベート接続をサポートするアクセス許可MSKを追加しました。 |
2023 年 3 月 8 日 |
| mazonMSKFullアクセス — 既存のポリシーの更新 |
Amazon は、クラスターへの接続を可能にする新しい Amazon アクセスEC2許可MSKを追加しました。 |
2021 年 11 月 30 日 |
|
mazonMSKFullアクセス — 既存のポリシーの更新 |
Amazon は、Amazon EC2ルートテーブルを記述するための新しいアクセス許可MSKを追加しました。 |
2021 年 11 月 19 日 |
|
Amazon が変更の追跡MSKを開始しました |
Amazon が の変更の追跡MSKを開始しました AWS マネージドポリシー。 |
2021 年 11 月 19 日 |
