AWS MSK Connect 的 受管政策 - Amazon Managed Streaming for Apache Kafka
AmazonMSKConnectReadOnlyAccessKafkaConnectServiceRolePolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS MSK Connect 的 受管政策

AWS 受管政策是由 AWS AWS .managed 政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 當新的 AWS 服務 啟動或新的API操作可用於現有 服務時, 最有可能更新受 AWS 管政策。

如需詳細資訊,請參閱 IAM 使用者指南 中的 AWS 受管政策

AWS 受管政策:AmazonMSKConnectReadOnlyAccess

此政策授予使用者列出和描述 MSK Connect 資源所需的許可。

您可以將AmazonMSKConnectReadOnlyAccess政策連接至身分IAM。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:ListConnectors",
                "kafkaconnect:ListCustomPlugins",
                "kafkaconnect:ListWorkerConfigurations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeConnector"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:connector/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeCustomPlugin"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:custom-plugin/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeWorkerConfiguration"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:worker-configuration/*"
            ]
        }
    ]
}

AWS 受管政策: KafkaConnectServiceRolePolicy

此政策會授予 MSK Connect 服務建立和管理具有標籤 的網路介面所需的許可AmazonMSKConnectManaged:true。這些網路介面可讓 MSK Connect 網路存取 Amazon 中的資源VPC,例如 Apache Kafka 叢集或來源或接收器。

您無法 KafkaConnectServiceRolePolicy 連接至IAM實體。此政策會連接至服務連結角色,允許 MSK Connect 代表您執行動作。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"aws:RequestTag/AmazonMSKConnectManaged": "true"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "AmazonMSKConnectManaged"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws:ec2:*:*:subnet/*",
				"arn:aws:ec2:*:*:security-group/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:AttachNetworkInterface",
				"ec2:DetachNetworkInterface",
				"ec2:DeleteNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/AmazonMSKConnectManaged": "true"
				}
			}
		}
	]
}

MSK 將更新連接至 AWS 受管政策

檢視自此服務開始追蹤這些變更以來,MSKConnect 受 AWS 管政策更新的詳細資訊。

變更 描述 日期

MSK 連接更新的唯讀政策

MSK 連線已更新 A mazonMSKConnectReadOnlyAccess 政策,以移除列出操作的限制。

 2021 年 10 月 13 日

MSK Connect 已開始追蹤變更

MSK Connect 已開始追蹤其 AWS 受管政策的變更。

 2021 年 9 月 14 日