Ações da política de autorização Recursos da política de autorização

Semântica das ações e IAM recursos da política de autorização

Esta seção explica a semântica dos elementos de ação e recurso que você pode usar em uma política de IAM autorização. Para visualizar um exemplo de política, consulte Crie políticas de autorização para a IAM função.

Ações da política de autorização

A tabela a seguir lista as ações que você pode incluir em uma política de autorização ao usar o controle de IAM acesso para a AmazonMSK. Ao incluir uma ação da coluna Ação da tabela em sua política de autorização, você também deve incluir as ações correspondentes da coluna Ações obrigatórias.

Ação	Descrição	Ações necessárias	Recursos necessários do	Aplicável a clusters com a tecnologia sem servidor
`kafka-cluster:Connect`	Concede permissão para se conectar e se autenticar no cluster.	Nenhum	cluster	Sim
`kafka-cluster:DescribeCluster`	Concede permissão para descrever vários aspectos do cluster, equivalentes aos do Apache Kafka. DESCRIBE CLUSTER ACL	`kafka-cluster:Connect`	cluster	Sim
`kafka-cluster:AlterCluster`	Concede permissão para alterar vários aspectos do cluster, equivalentes aos do Apache Kafka. ALTER CLUSTER ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeCluster`	cluster	Não
`kafka-cluster:DescribeClusterDynamicConfiguration`	Concede permissão para descrever a configuração dinâmica de um cluster, equivalente ao _ do Apache Kafka. DESCRIBE CONFIGS CLUSTER ACL	`kafka-cluster:Connect`	cluster	Não
`kafka-cluster:AlterClusterDynamicConfiguration`	Concede permissão para alterar a configuração dinâmica de um cluster, equivalente ao _ do Apache Kafka. ALTER CONFIGS CLUSTER ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeClusterDynamicConfiguration`	cluster	Não
`kafka-cluster:WriteDataIdempotently`	Concede permissão para gravar dados de forma idempotente em um cluster, equivalente ao _ do Apache Kafka. IDEMPOTENT WRITE CLUSTER ACL	`kafka-cluster:Connect` `kafka-cluster:WriteData`	cluster	Sim
`kafka-cluster:CreateTopic`	Concede permissão para criar tópicos em um cluster, equivalente ao/do Apache Kafka. CREATE CLUSTER TOPIC ACL	`kafka-cluster:Connect`	tópico	Sim
`kafka-cluster:DescribeTopic`	Concede permissão para descrever tópicos em um cluster, equivalente ao do Apache Kafka. DESCRIBE TOPIC ACL	`kafka-cluster:Connect`	tópico	Sim
`kafka-cluster:AlterTopic`	Concede permissão para alterar tópicos em um cluster, equivalente ao do Apache Kafka. ALTER TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	tópico	Sim
`kafka-cluster:DeleteTopic`	Concede permissão para excluir tópicos em um cluster, equivalente ao do Apache Kafka. DELETE TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	tópico	Sim
`kafka-cluster:DescribeTopicDynamicConfiguration`	Concede permissão para descrever a configuração dinâmica de tópicos em um cluster, equivalente ao _ do Apache Kafka. DESCRIBE CONFIGS TOPIC ACL	`kafka-cluster:Connect`	tópico	Sim
`kafka-cluster:AlterTopicDynamicConfiguration`	Concede permissão para alterar a configuração dinâmica dos tópicos em um cluster, equivalente ao _ do Apache Kafka. ALTER CONFIGS TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopicDynamicConfiguration`	tópico	Sim
`kafka-cluster:ReadData`	Concede permissão para ler dados de tópicos em um cluster, equivalente ao do Apache Kafka. READ TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic` `kafka-cluster:AlterGroup`	tópico	Sim
`kafka-cluster:WriteData`	Concede permissão para gravar dados em tópicos em um cluster, equivalente ao do Apache Kafka WRITE TOPIC ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTopic`	tópico	Sim
`kafka-cluster:DescribeGroup`	Concede permissão para descrever grupos em um cluster, equivalente ao do Apache Kafka. DESCRIBE GROUP ACL	`kafka-cluster:Connect`	group	Sim
`kafka-cluster:AlterGroup`	Concede permissão para participar de grupos em um cluster, equivalente ao do Apache Kafka. READ GROUP ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeGroup`	group	Sim
`kafka-cluster:DeleteGroup`	Concede permissão para excluir grupos em um cluster, equivalente ao do Apache Kafka. DELETE GROUP ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeGroup`	group	Sim
`kafka-cluster:DescribeTransactionalId`	Concede permissão para descrever transações IDs em um cluster, equivalente ao _ID do Apache Kafka. DESCRIBE TRANSACTIONAL ACL	`kafka-cluster:Connect`	transactional-id	Sim
`kafka-cluster:AlterTransactionalId`	Concede permissão para alterar a transação IDs em um cluster, equivalente ao _ID do Apache Kafka. WRITE TRANSACTIONAL ACL	`kafka-cluster:Connect` `kafka-cluster:DescribeTransactionalId` `kafka-cluster:WriteData`	transactional-id	Sim

Você pode usar o curinga asterisco (*) quantas vezes quiser em uma ação após o sinal de dois pontos. Veja os exemplos a seguir.

kafka-cluster:*Topic corresponde a kafka-cluster:CreateTopic, kafka-cluster:DescribeTopic, kafka-cluster:AlterTopic e kafka-cluster:DeleteTopic. Isso não inclui kafka-cluster:DescribeTopicDynamicConfiguration ou kafka-cluster:AlterTopicDynamicConfiguration.
kafka-cluster:* corresponde a todas as permissões.

Recursos da política de autorização

A tabela a seguir mostra os quatro tipos de recursos que você pode usar em uma política de autorização ao usar o controle de IAM acesso para a AmazonMSK. Você pode obter o cluster Amazon Resource Name (ARN) do AWS Management Console ou usando o comando describe-cluster DescribeClusterAPIou o comando AWS CLI describe-cluster. Em seguida, você pode usar o cluster ARN para criar o tópico, o grupo e a ID transacional. ARNs Para especificar um recurso em uma política de autorização, use a política desse recursoARN.

Recurso	ARNformato
Cluster	arn:aws:kafka:`region`:`account-id`:agrupamento/`cluster-name`/`cluster-uuid`
Tópico	arn:aws:kafka:`region`:`account-id`:tópico/`cluster-name`/`cluster-uuid`/`topic-name`
Grupo	arn:aws:kafka:`region`:`account-id`:grupo/`cluster-name`/`cluster-uuid`/`group-name`
ID transacional	arn:aws:kafka:`region`:`account-id`:identificação transacional/`cluster-name`/`cluster-uuid`/`transactional-id`

Você pode usar o caractere curinga asterisco (*) quantas vezes quiser em qualquer lugar na parte ARN que vem depois de:cluster/, :topic/:group/, e. :transactional-id/ Veja a seguir alguns exemplos de como usar o curinga asterisco (*) para se referir a vários recursos:

arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/*: todos os tópicos em qualquer cluster nomeado MyTestCluster, independentemente do clusterUUID.
arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/abcd1234-0123-abcd-5678-1234abcd-1/*_test: todos os tópicos cujo nome termina com “_test” no cluster cujo nome é MyTestCluster e cujo nome é UUID abcd1234-0123-abcd-5678-1234abcd-1.
arn:aws:kafka:us-east-1:0123456789012:transactional-id/MyTestCluster/*/5555abcd-1111-abcd-1234-abcd1234-1: todas as transações cuja ID transacional é 5555abcd-1111-abcd-1234-abcd1234-1, em todas as encarnações de um cluster nomeado em sua conta. MyTestCluster Isso significa que, se você criar um cluster chamado MyTestCluster, excluí-lo e criar outro cluster com o mesmo nome, poderá usar esse recurso ARN para representar a mesma ID de transação nos dois clusters. No entanto, o cluster excluído não estará acessível.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Obtenha os corretores de bootstrap para IAM controle de acesso

Casos de uso comuns da política de autorização de clientes