本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AmazonAmazon MSK 托管策略
要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略。
Amazon 服务负责维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管策略。服务不会从 Amazon 托管策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon 还支持跨多种服务的工作职能的托管策略。例如,ViewOnlyAccess Amazon 托管式策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新功能时,Amazon会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略。
要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略。
Amazon 服务负责维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管策略。服务不会从 Amazon 托管策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon 还支持跨多种服务的工作职能的托管策略。例如,AmazonMSKReadOnlyAccess 权限 Amazon托管策略提供的只读访问权限Amazon资源的费用。当服务启动新功能时,Amazon会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略。
Amazon托管策略:AmazonMSKFullAccess
此策略授予管理权限,允许委托人对所有 Amazon MSK 操作的完全访问。此策略中的权限分组如下:
-
亚马逊 MSK 权限允许所有亚马逊 MSK 操作。
-
验证 API 请求中传递的资源需要此策略中的某些 Amazon EC2 权限。这是为了确保 Amazon MSK 能够在集群中成功使用这些资源。此策略中的其余 Amazon EC2 权限允许亚马逊 MSK 创建Amazon要让您能够连接到集群所需的资源。
-
这些区域有:Amazon KMS在 API 调用期间使用权限来验证请求中传递的资源。要使亚马逊 MSK 能够将传递的密钥与亚马逊 MSK 集群一起使用,这是必需的。
-
Amazon MSK 需要 CloudWatch Logs、Amazon S3 和 Amazon Kinesis Data Firehose 权限才能确保日志传输目的地可以访问,并且它们对代理日志的使用有效。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:*", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcAttribute", "kms:DescribeKey", "kms:CreateGrant", "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups", "S3:GetBucketPolicy", "firehose:TagDeliveryStream" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AWSMSKManaged": "true" }, "StringLike": { "aws:RequestTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSMSKManaged": "true" }, "StringLike": { "ec2:ResourceTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*", "Condition": { "StringLike": { "iam:AWSServiceName": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*", "Condition": { "StringLike": { "iam:AWSServiceName": "delivery.logs.amazonaws.com" } } } ] }
Amazon托管策略:AmazonMSKReadOnlyAccess 权限
此策略授予只读权限,以允许用户在 Amazon MSK 中查看信息。附加此政策的委托人不能进行任何更新或删除现有资源,也不能创建新的 Amazon MSK 资源。例如,拥有这些权限的委托人可以查看与其账户关联的集群和配置的列表,但不能更改任何集群的配置或设置。此策略中的权限分组如下:
-
亚马逊 MSK 权限允许您列出亚马逊 MSK 资源、描述这些资源并获取有关它们的信息。
-
Amazon EC2 权限用于描述与集群关联的 Amazon VPC、子网、安全组和 ENI。
-
这些区域有:Amazon KMS权限用于描述与集群关联的密钥。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kafka:Describe*", "kafka:List*", "kafka:Get*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
Amazon托管策略:KafkaServiceRolePolicy
您无法将 KafkaServiceRolePolicy 附加到 IAM 实体。将此策略附加到允许 Amazon MSK 代表您执行操作的服务相关角色。有关更多信息,请参阅 将服务相关角色用于 Amazon MSK。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:CreateNetworkInterfacePermission", "ec2:AttachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DetachNetworkInterface", "acm-pca:GetCertificateAuthorityCertificate", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:PutResourcePolicy", "secretsmanager:DeleteResourcePolicy", "secretsmanager:DescribeSecret" ], "Resource": "*", "Condition": { "ArnLike": { "secretsmanager:SecretId": "arn:*:secretsmanager:*:*:secret:AmazonMSK_*" } } } ] }
Amazon MSK 更新Amazon托管策略
查看有关更新的详细信息AmazonAmazon MSK(自从其开始跟踪更改以来)的托管策略。要获得有关此页面更改的自动提示,请订阅 Amazon MSK 上的 RSS 源。Amazon MSK 开发人员指南的文档历史记录页.
| 更改 | 描述 | 日期 |
|---|---|---|
|
AmazonMSKFullAccess— 对现有策略的更新 |
亚马逊 MSK 添加了新的 Amazon EC2 权限,以便能够连接到集群。 |
2021 年 11 月 30 日 |
|
AmazonMSKFullAccess— 对现有策略的更新 |
亚马逊 MSK 添加了一个新的权限,允许它描述 Amazon EC2 路由表。 |
2021 年 11 月 19 日 |
|
Amazon MSK 开始跟踪更改 |
Amazon MSK 开始跟踪其更改Amazon托管策略。 |
2021 年 11 月 19 日 |