기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 아마존 관리형 정책 MSK
원래 요청 ping에 대한 AWS 관리형 정책은 에서 생성하고 관리하는 독립형 정책입니다. AWS. AWS 관리형 정책은 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었으므로 사용자, 그룹 및 역할에 권한을 할당하기 시작할 수 있습니다.
다음 사항에 유의하세요. AWS 관리형 정책은 모든 사용 사례에서 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수 있습니다. AWS 고객이 사용할 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
에 정의된 권한은 변경할 수 없습니다. AWS 관리형 정책. If AWS 에 정의된 권한을 업데이트합니다. AWS 관리형 정책의 경우 업데이트는 정책이 연결된 모든 주체 ID (사용자, 그룹, 역할) 에 영향을 줍니다. AWS 를 업데이트할 가능성이 가장 높습니다. AWS 관리형 정책을 새로 만드는 경우 AWS 서비스 가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 됩니다.
자세한 내용은 단원을 참조하세요.AWSIAM사용 설명서의 관리형 정책.
AWS 관리형 정책: A mazonMSKFull 액세스
이 정책은 보안 주체에게 모든 Amazon MSK 작업에 대한 전체 액세스를 허용하는 관리 권한을 부여합니다. 해당 정책의 권한은 다음과 같이 그룹화됩니다.
-
Amazon MSK 권한은 모든 아마존 MSK 작업을 허용합니다.
-
Amazon EC2권한 — 이 정책에서는 API 요청에서 전달된 리소스를 검증하는 데 필요합니다. MSK이는 Amazon이 클러스터에서 리소스를 성공적으로 사용할 수 있도록 하기 위한 것입니다. 이 정책의 나머지 Amazon EC2 권한은 Amazon이 다음을 MSK 생성하도록 허용합니다. AWS 클러스터에 연결할 수 있도록 하는 데 필요한 리소스. -
AWS KMS권한 - API 호출 중에 요청에서 전달된 리소스의 유효성을 검사하는 데 사용됩니다. Amazon이 Amazon MSK MSK 클러스터에서 전달된 키를 사용할 수 있으려면 이러한 자격 요건이 필요합니다. -
CloudWatch Logs, Amazon S3, and Amazon Data Firehose권한 — MSK Amazon이 로그 전송 목적지에 도달할 수 있고 브로커 로그 사용에 유효한지 확인할 수 있어야 합니다. IAM권한 — MSK Amazon이 사용자 계정에서 서비스 연결 역할을 생성하고 사용자가 서비스 실행 역할을 Amazon에 전달할 수 있도록 하려면 필요합니다. MSK
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "kafka:*", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcAttribute", "kms:DescribeKey", "kms:CreateGrant", "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups", "S3:GetBucketPolicy", "firehose:TagDeliveryStream" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AWSMSKManaged": "true" }, "StringLike": { "aws:RequestTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSMSKManaged": "true" }, "StringLike": { "ec2:ResourceTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*", "Condition": { "StringLike": { "iam:AWSServiceName": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*", "Condition": { "StringLike": { "iam:AWSServiceName": "delivery.logs.amazonaws.com" } } } ] }
AWS 관리형 정책: A mazonMSKRead OnlyAccess
이 정책은 사용자에게 MSK Amazon에서 정보를 볼 수 있는 읽기 전용 권한을 부여합니다. 이 정책이 연결된 주도자는 기존 리소스를 업데이트하거나 삭제할 수 없으며 새 Amazon 리소스를 생성할 수도 없습니다. MSK 예를 들어 이러한 권한이 있는 주체는 자신의 계정과 연결된 클러스터 및 구성 목록을 볼 수 있지만 클러스터의 구성이나 설정을 변경할 수는 없습니다. 해당 정책의 권한은 다음과 같이 그룹화됩니다.
-
Amazon MSK권한 — Amazon MSK 리소스를 나열하고, 설명하고, 관련 정보를 얻을 수 있습니다. -
Amazon EC2권한 — AmazonVPC, 서브넷, 보안 그룹을 설명하고 클러스터와 관련된 ENIs 항목을 설명하는 데 사용됩니다. -
AWS KMS권한 - 클러스터와 관련된 키를 설명하는 데 사용됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kafka:Describe*", "kafka:List*", "kafka:Get*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
AWS 관리형 정책: KafkaServiceRolePolicy
KafkaServiceRolePolicy IAM엔티티에 연결할 수 없습니다. 이 정책은 Amazon이 클러스터의 VPC 엔드포인트 (커넥터) 관리, 네트워크 인터페이스 관리, MSK 클러스터 자격 증명 관리와 같은 작업을 수행할 수 MSK 있도록 하는 서비스 연결 역할에 연결됩니다. AWS Secrets Manager. 자세한 내용은 을 참조하십시오Amazon의 서비스 연결 역할 사용 MSK.
AWS 관리형 정책: AWSMSKReplicatorExecutionRole
이 AWSMSKReplicatorExecutionRole 정책은 Amazon MSK Replicator에 클러스터 간에 데이터를 복제할 수 있는 권한을 부여합니다. MSK 해당 정책의 권한은 다음과 같이 그룹화됩니다.
-
cluster— Amazon MSK Replicator에 인증을 사용하여 IAM 클러스터에 연결할 수 있는 권한을 부여합니다. 또한 클러스터를 설명하고 변경할 수 있는 권한을 부여합니다. -
topic— Amazon MSK Replicator에 주제를 설명, 생성 및 변경하고 주제의 동적 구성을 변경할 수 있는 권한을 부여합니다. -
consumer group— Amazon MSK Replicator에 소비자 그룹을 설명 및 변경하고, MSK 클러스터에서 날짜를 읽고 쓰고, 복제기로 만든 내부 주제를 삭제할 수 있는 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ClusterPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:WriteDataIdempotently" ], "Resource": [ "arn:aws:kafka:*:*:cluster/*" ] }, { "Sid": "TopicPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:AlterCluster" ], "Resource": [ "arn:aws:kafka:*:*:topic/*/*" ] }, { "Sid": "GroupPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:*:*:group/*/*" ] } ] }
아마존 MSK 업데이트 AWS 관리형 정책
업데이트에 대한 세부 정보 보기 AWS 이 서비스가 이러한 변경 사항을 추적하기 시작한 MSK 이후 Amazon에서 정책을 관리했습니다.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
| WriteDataIdempotently 권한 추가 AWSMSKReplicatorExecutionRole — 기존 정책 업데이트 |
Amazon은 MSK 클러스터 간 데이터 복제를 지원하는 WriteDataIdempotently 권한을 AWSMSKReplicatorExecutionRole 정책에 MSK 추가했습니다. |
2024년 3월 12일 |
| AWSMSKReplicatorExecutionRole - 새 정책 |
아마존은 아마존 MSK 리플리케이터를 지원하는 AWSMSKReplicatorExecutionRole 정책을 MSK 추가했습니다. |
2023년 12월 4일 |
| A mazonMSKFull 액세스 — 기존 정책 업데이트 |
아마존은 아마존 MSK 리플리케이터를 지원하는 권한을 MSK 추가했습니다. |
2023년 9월 28일 |
| KafkaServiceRolePolicy -기존 정책 업데이트 |
Amazon은 멀티 VPC 프라이빗 연결을 지원하는 권한을 MSK 추가했습니다. |
2023년 3월 8일 |
| A: mazonMSKFull 액세스 — 기존 정책에 대한 업데이트 |
Amazon은 클러스터에 연결할 수 있도록 새 Amazon EC2 권한을 MSK 추가했습니다. |
2021년 11월 30일 |
|
A mazonMSKFull 액세스 — 기존 정책 업데이트 |
Amazon은 Amazon EC2 라우팅 테이블을 설명할 수 있는 새 권한을 MSK 추가했습니다. |
2021년 11월 19일 |
|
Amazon은 변경 사항 추적을 MSK 시작했습니다 |
Amazon은 변경 사항을 MSK 추적하기 시작했습니다. AWS 관리형 정책. |
2021년 11월 19일 |
