Amazon 亚马逊 MSK 的托管策略 - Amazon Managed Streaming for Apache Kafka
AmazonMSK FullAccessAmazonMSK ReadOnlyAccessKafkaServiceRolePolicyAWSMSKReplicatorExecutionRole策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 亚马逊 MSK 的托管策略

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Service 的 API 操作时更新 Amazon 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon 托管策略:AmazonMSK FullAccess

此策略授予管理权限,允许主体完全访问所有 Amazon MSK 操作。此策略中的权限分组如下:

  • Amazon MSK 权限允许所有 Amazon MSK 操作。

  • Amazon EC2权限 — 在此策略中,需要在 API 请求中验证传递的资源。这是为了确保 Amazon MSK 能够成功在集群中使用资源。此策略中的其他 Amazon EC2 权限允许 Amazon MSK 创建必要的 Amazon 资源,使您能够连接到您的集群。

  • Amazon KMS权限 — 在 API 调用期间用于验证请求中传递的资源。Amazon MSK 必须使用它们才能在 Amazon MSK 集群中使用传递的密钥。

  • CloudWatch Logs, Amazon S3, and Amazon Data Firehose权限 — Amazon MSK 需要权限,才能确保日志传输目标可访问,并且这些目标对代理日志的使用有效。

  • IAM权限 — Amazon MSK 需要权限,才能在您的账户中创建服务相关角色并允许您将服务执行角色传递给 Amazon MSK。

    {
    	"Version": "2012-10-17",
    	"Statement": [{
    			"Effect": "Allow",
    			"Action": [
    				"kafka:*",
    				"ec2:DescribeSubnets",
    				"ec2:DescribeVpcs",
    				"ec2:DescribeSecurityGroups",
    				"ec2:DescribeRouteTables",
    				"ec2:DescribeVpcEndpoints",
    				"ec2:DescribeVpcAttribute",
    				"kms:DescribeKey",
    				"kms:CreateGrant",
    				"logs:CreateLogDelivery",
    				"logs:GetLogDelivery",
    				"logs:UpdateLogDelivery",
    				"logs:DeleteLogDelivery",
    				"logs:ListLogDeliveries",
    				"logs:PutResourcePolicy",
    				"logs:DescribeResourcePolicies",
    				"logs:DescribeLogGroups",
    				"S3:GetBucketPolicy",
    				"firehose:TagDeliveryStream"
    			],
    			"Resource": "*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:CreateVpcEndpoint"
    			],
    			"Resource": [
    				"arn:*:ec2:*:*:vpc/*",
    				"arn:*:ec2:*:*:subnet/*",
    				"arn:*:ec2:*:*:security-group/*"
    			]
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:CreateVpcEndpoint"
    			],
    			"Resource": [
    				"arn:*:ec2:*:*:vpc-endpoint/*"
    			],
    			"Condition": {
    				"StringEquals": {
    					"aws:RequestTag/AWSMSKManaged": "true"
    				},
    				"StringLike": {
    					"aws:RequestTag/ClusterArn": "*"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:CreateTags"
    			],
    			"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
    			"Condition": {
    				"StringEquals": {
    					"ec2:CreateAction": "CreateVpcEndpoint"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:DeleteVpcEndpoints"
    			],
    			"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
    			"Condition": {
    				"StringEquals": {
    					"ec2:ResourceTag/AWSMSKManaged": "true"
    				},
    				"StringLike": {
    					"ec2:ResourceTag/ClusterArn": "*"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": "iam:PassRole",
    			"Resource": "*",
    			"Condition": {
    				"StringEquals": {
    					"iam:PassedToService": "kafka.amazonaws.com"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": "iam:CreateServiceLinkedRole",
    			"Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*",
    			"Condition": {
    				"StringLike": {
    					"iam:AWSServiceName": "kafka.amazonaws.com"
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"iam:AttachRolePolicy",
    				"iam:PutRolePolicy"
    			],
    			"Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
    		},
    		{
    			"Effect": "Allow",
    			"Action": "iam:CreateServiceLinkedRole",
    			"Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*",
    			"Condition": {
    				"StringLike": {
    					"iam:AWSServiceName": "delivery.logs.amazonaws.com"
    				}
    			}
    		}

    	]
    }

Amazon 托管策略:AmazonMSK ReadOnlyAccess

此策略授予只读权限,允许用户查看 Amazon MSK 中的信息。附加此策略的主体不能进行任何更新或删除现有资源,也不能创建新的 Amazon MSK 资源。例如,拥有这些权限的主体可以查看与其账户关联的集群和配置列表,但不能更改任何集群的配置或设置。此策略中的权限分组如下:

  • Amazon MSK权限 — 允许您列出 Amazon MSK 资源,对其进行描述并获取有关它们的信息。

  • Amazon EC2权限 — 用于描述与集群关联的 Amazon VPC、子网、安全组和 ENI。

  • Amazon KMS权限 — 用于描述与集群关联的密钥。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "kafka:Describe*",
                "kafka:List*",
                "kafka:Get*",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "kms:DescribeKey"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Amazon 托管策略: KafkaServiceRolePolicy

您无法附加 KafkaServiceRolePolicy 到您的 IAM 实体。将此策略附加到服务相关角色,该角色允许 Amazon MSK 执行诸如管理 MSK 集群上的 VPC 端点(连接器)、管理网络接口和使用 Amazon Secrets Manager管理集群凭证等操作。有关更多信息,请参阅 对 Amazon MSK 使用服务相关角色

Amazon 托管策略: AWSMSKReplicatorExecutionRole

AWSMSKReplicatorExecutionRole策略向 Amazon MSK 复制器授予在 MSK 集群之间复制数据的权限。此策略中的权限如下分组:

  • cluster— 向 Amazon MSK Replicator 授予使用 IAM 身份验证连接到集群的权限。还授予描述和更改集群的权限。

  • topic— 授予 Amazon MSK Replicator 描述、创建和更改主题以及更改主题动态配置的权限。

  • consumer group— 授予 Amazon MSK Replicator 描述和更改使用者组、从 MSK 集群读取和写入日期以及删除复制器创建的内部主题的权限。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "ClusterPermissions",
			"Effect": "Allow",
			"Action": [
				"kafka-cluster:Connect",
				"kafka-cluster:DescribeCluster",
				"kafka-cluster:AlterCluster",
				"kafka-cluster:DescribeTopic",
				"kafka-cluster:CreateTopic",
				"kafka-cluster:AlterTopic",
				"kafka-cluster:WriteData",
				"kafka-cluster:ReadData",
				"kafka-cluster:AlterGroup",
				"kafka-cluster:DescribeGroup",
				"kafka-cluster:DescribeTopicDynamicConfiguration",
				"kafka-cluster:AlterTopicDynamicConfiguration",
				"kafka-cluster:WriteDataIdempotently"
			],
			"Resource": [
				"arn:aws:kafka:*:*:cluster/*"
			]
		},
		{
			"Sid": "TopicPermissions",
			"Effect": "Allow",
			"Action": [
				"kafka-cluster:DescribeTopic",
				"kafka-cluster:CreateTopic",
				"kafka-cluster:AlterTopic",
				"kafka-cluster:WriteData",
				"kafka-cluster:ReadData",
				"kafka-cluster:DescribeTopicDynamicConfiguration",
				"kafka-cluster:AlterTopicDynamicConfiguration",
				"kafka-cluster:AlterCluster"
			],
			"Resource": [
				"arn:aws:kafka:*:*:topic/*/*"
			]
		},
		{
			"Sid": "GroupPermissions",
			"Effect": "Allow",
			"Action": [
				"kafka-cluster:AlterGroup",
				"kafka-cluster:DescribeGroup"
			],
			"Resource": [
				"arn:aws:kafka:*:*:group/*/*"
			]
		}
	]
}

亚马逊 MSK 更新了托 Amazon 管政策

查看自该服务开始跟踪这些更改以来,Amazon MSK Amazon 托管政策更新的详细信息。

更改 描述 日期
WriteDataIdempotently 权限已添加到 AWSMSKReplicatorExecutionRole-更新现有策略

Amazon MSK 为 AWSMSKReplicatorExecutionRole 策略添加了支持 MSK 集群之间数据复制的 WriteDataIdempotently 权限。

 2024 年 3 月 12 日
AWSMSKReplicatorExecutionRole:新策略

亚马逊 MSK 增加了支持 Amazon MSK Replicator 的 AWSMSKReplicatorExecutionRole 政策。

 2023 年 12 月 4 日
AmazonMSK FullAccess — 更新现有政策

Amazon MSK 添加了支持 Amazon MSK 复制器的权限。

 2023 年 9 月 28 日
KafkaServiceRolePolicy – 更新了现有策略

Amazon MSK 添加了支持多 VPC 私有连接的权限。

 2023 年 3 月 8 日
AmazonMSK FullAccess — 更新现有政策

Amazon MSK 添加了新的 Amazon EC2 权限,以便连接到集群。

 2021 年 11 月 30 日

AmazonMSK FullAccess — 更新现有政策

Amazon MSK 添加了新权限,允许其描述 Amazon EC2 路由表。

 2021 年 11 月 19 日

Amazon MSK 开启了跟踪更改

Amazon MSK 开始跟踪其 Amazon 托管政策的变更。

 2021 年 11 月 19 日