기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM 권한 부여 정책 작업 및 리소스의 의미
이 섹션에서는 IAM 권한 부여 정책에서 사용할 수 있는 작업 및 리소스 요소의 의미 체계를 설명합니다. 정책 예제는 IAM 역할에 대한 권한 부여 정책 생성을 참조하세요.
권한 부여 정책 작업
다음 표에는 Amazon 에 대한 IAM 액세스 제어를 사용할 때 권한 부여 정책에 포함할 수 있는 작업이 나열되어 있습니다MSK. 권한 부여 정책에 표의 작업 열에 있는 작업을 포함할 때는 필수 작업 열에 있는 해당 작업도 포함해야 합니다.
| 작업 | 설명 | 필수 작업 | 필수 리소스 | 서버리스 클러스터에 적용 가능 |
|---|---|---|---|---|
kafka-cluster:Connect |
클러스터에 연결하고 인증할 수 있는 권한을 부여합니다. | None | cluster | 예 |
kafka-cluster:DescribeCluster |
Apache Kafka의 DESCRIBE CLUSTER 와 동일한 클러스터의 다양한 측면을 설명할 수 있는 권한을 부여합니다ACL. |
|
cluster | 예 |
kafka-cluster:AlterCluster |
Apache Kafka의 ALTER CLUSTER 와 동일한 클러스터의 다양한 측면을 변경할 수 있는 권한을 부여합니다ACL. |
|
cluster | 아니요 |
kafka-cluster:DescribeClusterDynamicConfiguration |
Apache Kafka의 DESCRIBE_CONFIGS CLUSTER 에 해당하는 클러스터의 동적 구성을 설명할 수 있는 권한을 부여합니다ACL. |
|
cluster | 아니요 |
kafka-cluster:AlterClusterDynamicConfiguration |
Apache Kafka의 ALTER_CONFIGS CLUSTER 에 해당하는 클러스터의 동적 구성을 변경할 수 있는 권한을 부여합니다ACL. |
|
cluster | 아니요 |
kafka-cluster:WriteDataIdempotently |
Apache Kafka의 IDEMPOTENT_WRITE 와 동일한 클러스터에 데이터를 임팩트 방식으로 쓸 수 있는 권한을 부여합니다CLUSTERACL. |
|
cluster | 예 |
kafka-cluster:CreateTopic |
Apache Kafka의 CREATE CLUSTER/TOPIC 에 해당하는 클러스터에서 주제를 생성할 수 있는 권한을 부여합니다ACL. |
|
주제 | 예 |
kafka-cluster:DescribeTopic |
Apache Kafka의 DESCRIBE TOPIC 와 동등한 클러스터의 주제를 설명할 수 있는 권한을 부여합니다ACL. |
|
주제 | 예 |
kafka-cluster:AlterTopic |
Apache Kafka의 ALTER TOPIC 에 해당하는 클러스터의 주제를 변경할 수 있는 권한을 부여합니다ACL. |
|
주제 | 예 |
kafka-cluster:DeleteTopic |
Apache Kafka의 DELETE TOPIC 에 해당하는 클러스터의 주제를 삭제할 수 있는 권한을 부여합니다ACL. |
|
주제 | 예 |
kafka-cluster:DescribeTopicDynamicConfiguration |
Apache Kafka의 DESCRIBE_CONFIGS TOPIC 에 해당하는 클러스터에 있는 주제의 동적 구성을 설명할 수 있는 권한을 부여합니다ACL. |
|
주제 | 예 |
kafka-cluster:AlterTopicDynamicConfiguration |
Apache Kafka의 ALTER_CONFIGS TOPIC 에 해당하는 클러스터에 있는 주제의 동적 구성을 변경할 수 있는 권한을 부여합니다ACL. |
|
주제 | 예 |
kafka-cluster:ReadData |
Apache Kafka의 READ TOPIC 에 해당하는 클러스터의 주제에서 데이터를 읽을 수 있는 권한을 부여합니다ACL. |
|
주제 | 예 |
kafka-cluster:WriteData |
Apache Kafka의 WRITE TOPIC ACL |
|
주제 | 예 |
kafka-cluster:DescribeGroup |
Apache Kafka의 DESCRIBE GROUP 와 동등한 클러스터의 그룹을 설명할 수 있는 권한을 부여합니다ACL. |
|
그룹 | 예 |
kafka-cluster:AlterGroup |
Apache Kafka의 READ GROUP 에 해당하는 클러스터의 그룹에 조인할 수 있는 권한을 부여합니다ACL. |
|
그룹 | 예 |
kafka-cluster:DeleteGroup |
Apache Kafka의 DELETE GROUP 에 해당하는 클러스터의 그룹을 삭제할 수 있는 권한을 부여합니다ACL. |
|
그룹 | 예 |
kafka-cluster:DescribeTransactionalId |
Apache Kafka의 DESCRIBE TRANSACTIONAL_ID 와 동일한 클러스터IDs의 트랜잭션을 설명할 수 있는 권한을 부여합니다ACL. |
|
transactional-id | 예 |
kafka-cluster:AlterTransactionalId |
Apache Kafka의 WRITE TRANSACTIONAL_ID 와 동일한 클러스터IDs의 트랜잭션을 변경할 수 있는 권한을 부여합니다ACL. |
|
transactional-id | 예 |
콜론 뒤에 오는 작업에서 별표(*) 와일드카드를 여러 번 사용할 수 있습니다. 예를 들면 다음과 같습니다.
kafka-cluster:*Topic은kafka-cluster:CreateTopic,kafka-cluster:DescribeTopic,kafka-cluster:AlterTopic,kafka-cluster:DeleteTopic을 나타냅니다.kafka-cluster:DescribeTopicDynamicConfiguration또는kafka-cluster:AlterTopicDynamicConfiguration은 포함되지 않습니다.-
kafka-cluster:*는 모든 권한을 나타냅니다.
권한 부여 정책 리소스
다음 표에는 Amazon 에 대한 IAM 액세스 제어를 사용할 때 권한 부여 정책에서 사용할 수 있는 네 가지 유형의 리소스가 나와 있습니다MSK. DescribeCluster API 또는 describe-cluster
| Resource | ARN 형식 |
|---|---|
| 클러스터 | arn:aws:kafka:region:account-id:클러스터/cluster-name/cluster-uuid |
| 주제 | arn:aws:kafka:region:account-id:topic/cluster-name/cluster-uuid/topic-name |
| 그룹 | arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/group-name |
| 트랜잭션 ID | arn:aws:kafka:region:account-id:transactional-id/cluster-name/cluster-uuid/transactional-id |
별표(*) 와일드카드는 , :cluster/, 및 뒤에 ARN 오는 의 어느 부분에서든 원하는 횟수만큼 사용할 수 :topic/ :group/있습니다:transactional-id/. 다음은 별표(*) 와일드카드를 사용하여 여러 리소스를 참조하는 방법에 대한 몇 가지 예입니다.
-
arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/*: 클러스터의 에 MyTestCluster관계없이 라는 클러스터의 모든 주제입니다UUID. -
arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/abcd1234-0123-abcd-5678-1234abcd-1/*_test: 이름이 이고 이름이 abcd-abcd1234-0123abcd-5678-1234-1인 클러스터에서 이름이 “_test”로 끝 MyTestCluster 나는 모든 주제UUID입니다. arn:aws:kafka:us-east-1:0123456789012:transactional-id/MyTestCluster/*/5555abcd-1111-abcd-1234-abcd1234-1: 트랜잭션 ID가 5555abcd-1111-abcd-1234-abcd1234-1인 모든 트랜잭션은 계정에 이름이 지정된 클러스터의 모든 손상 MyTestCluster 에 걸쳐 발생합니다. 즉 MyTestCluster, 라는 클러스터를 생성한 다음 삭제한 다음 동일한 이름으로 다른 클러스터를 생성하는 경우 이 리소스를 사용하여 두 클러스터 모두에서 동일한 트랜잭션 ID를 ARN 나타낼 수 있습니다. 그러나 삭제된 클러스터는 액세스할 수 없습니다.
