AmazonMSK Connect 的托管策略 - Amazon Managed Streaming for Apache Kafka
Amazon MSKConnect ReadOnlyAccessKafkaConnectServiceRolePolicy策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AmazonMSK Connect 的托管策略

Amazon托管策略是由创建和管理的独立策略Amazon。 Amazon托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有Amazon客户使用。我们建议通过定义特定于使用案例的客户管理型策略来进一步减少权限。

您无法更改Amazon托管策略中定义的权限。如果Amazon更新Amazon托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon最有可能在启动新的 API 或现有服务可以使用新Amazon Web Services 服务的 API 操作时更新Amazon托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon托管策略:Amazon MSKConnect ReadOnlyAccess

此策略向用户授予列出和描述 MSK Connect 资源所需的权限。

您可以将 AmazonMSKConnectReadOnlyAccess 策略附加到 IAM 身份。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:ListConnectors",
                "kafkaconnect:ListCustomPlugins",
                "kafkaconnect:ListWorkerConfigurations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeConnector"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:connector/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeCustomPlugin"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:custom-plugin/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeWorkerConfiguration"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:worker-configuration/*"
            ]
        }
    ]
}

Amazon托管策略: KafkaConnectServiceRolePolicy

此策略向 MSK Connect 服务授予创建和管理带有 AmazonMSKConnectManaged:true 标签的网络接口所需的权限。这些网络接口允许 MSK Connect 通过网络访问 Amazon VPC 中的资源,例如 Apache Kafka 集群、源或接收器。

您无法附加 KafkaConnectServiceRolePolicy 到您的 IAM 实体。此策略附加到服务相关角色,允许 MSK Connect 代表您执行操作。

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"aws:RequestTag/AmazonMSKConnectManaged": "true"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "AmazonMSKConnectManaged"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws:ec2:*:*:subnet/*",
				"arn:aws:ec2:*:*:security-group/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:AttachNetworkInterface",
				"ec2:DetachNetworkInterface",
				"ec2:DeleteNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/AmazonMSKConnectManaged": "true"
				}
			}
		}
	]
}

MSK Connect 对Amazon托管策略的更新

查看自该服务开始跟踪这些更改以来 MSK Connect Amazon 托管策略更新的详细信息。

更改 描述 日期

MSK Connect 更新了只读策略

MSK Connect 更新了亚马逊MSKConnectReadOnlyAccess 政策,取消了对上架操作的限制。

 2021 年 10 月 13 日

MSK Connect 开启了跟踪更改

MSK Connect 开始跟踪其Amazon托管策略的更改。

 2021 年 9 月 14 日