Amazon MSK Connect 的托管式策略 - Amazon Managed Streaming for Apache Kafka
Amazon MSKConnect ReadOnlyAccessKafkaConnectServiceRolePolicy策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon MSK Connect 的托管式策略

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略可用于针对很多常见使用案例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略附加到的所有主体身份(用户、组和角色)。 Amazon 当启动新的 API 或新 Amazon Web Services 服务 的 API 操作可用时,最有可能会更新 Amazon 托管式策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略

Amazon 托管策略:Amazon MSKConnect ReadOnlyAccess

此策略向用户授予列出和描述 MSK Connect 资源所需的权限。

您可以将 AmazonMSKConnectReadOnlyAccess 策略附加到 IAM 身份。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:ListConnectors",
                "kafkaconnect:ListCustomPlugins",
                "kafkaconnect:ListWorkerConfigurations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeConnector"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:connector/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeCustomPlugin"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:custom-plugin/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeWorkerConfiguration"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:worker-configuration/*"
            ]
        }
    ]
}

Amazon 托管策略: KafkaConnectServiceRolePolicy

此策略向 MSK Connect 服务授予创建和管理带有 AmazonMSKConnectManaged:true 标签的网络接口所需的权限。这些网络接口允许 MSK Connect 通过网络访问 Amazon VPC 中的资源,例如 Apache Kafka 集群、源或接收器。

您无法附加 KafkaConnectServiceRolePolicy 到 IAM 实体。此策略附加到服务相关角色,允许 MSK Connect 代表您执行操作。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"aws:RequestTag/AmazonMSKConnectManaged": "true"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "AmazonMSKConnectManaged"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws:ec2:*:*:subnet/*",
				"arn:aws:ec2:*:*:security-group/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:AttachNetworkInterface",
				"ec2:DetachNetworkInterface",
				"ec2:DeleteNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/AmazonMSKConnectManaged": "true"
				}
			}
		}
	]
}

Amazon 托管式策略的 MSK Connect 更新

查看有关自此服务开始跟踪这些更改起,适用于 MSK Connect 的 Amazon 托管式策略更新的详细信息。

更改 描述 日期

MSK Connect 更新了只读策略

MSK Connect 更新了 Amazon MSKConnect ReadOnlyAccess 策略,以取消对列出操作的限制。

 2021 年 10 月 13 日

MSK Connect 开启了跟踪更改

MSK Connect 为其 Amazon 托管式策略开启了跟踪更改。

 2021 年 9 月 14 日