本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Amazon 的托管政策 MSK
Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。
您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 当新服务启动或现有服务 Amazon Web Service 有新API操作可用时,最有可能更新 Amazon 托管策略。
有关更多信息,请参阅《IAM用户指南》中的Amazon 托管策略。
Amazon 托管策略:A mazonMSKFull 访问权限
此政策授予管理权限,允许委托人完全访问所有 Amazon MSK 操作。此策略中的权限如下分组:
-
亚马逊MSK权限允许所有亚马逊MSK操作。
-
Amazon EC2
权限 — 在此策略中,需要验证API请求中传递的资源。这是为了确保 Amazon MSK 能够成功使用集群中的资源。本政策中的其余亚马逊EC2权限MSK允许亚马逊创建所需的 Amazon 资源,使您能够连接到您的集群。 -
Amazon KMS
权限-在API调用期间用于验证请求中传递的资源。它们是亚马逊MSK能够在亚马逊MSK集群中使用传递的密钥所必需的。 -
CloudWatch Logs, Amazon S3, and Amazon Data Firehose
权限 — Amazon MSK 需要这些权限,才能确保日志传输目标可达,并且这些目标对代理日志的使用有效。 IAM
权限 — 是亚马逊MSK能够在您的账户中创建服务相关角色以及允许您将服务执行角色传递给亚马逊MSK所必需的。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "kafka:*", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcAttribute", "kms:DescribeKey", "kms:CreateGrant", "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups", "S3:GetBucketPolicy", "firehose:TagDeliveryStream" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:*:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AWSMSKManaged": "true" }, "StringLike": { "aws:RequestTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSMSKManaged": "true" }, "StringLike": { "ec2:ResourceTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*", "Condition": { "StringLike": { "iam:AWSServiceName": "kafka.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*", "Condition": { "StringLike": { "iam:AWSServiceName": "delivery.logs.amazonaws.com" } } } ] }
Amazon 托管策略:A mazonMSKRead OnlyAccess
此政策授予只读权限,允许用户在 Amazon 中查看信息MSK。附有此政策的委托人不能进行任何更新或删除现有资源,也不能创建新的 Ama MSK zon 资源。例如,拥有这些权限的主体可以查看与其账户关联的集群列表和配置,但不能更改任何集群的配置或设置。此策略中的权限分组如下:
-
Amazon MSK
权限 — 允许您列出 Amazon MSK 资源、对其进行描述并获取有关它们的信息。 -
Amazon EC2
权限 — 用于描述与集群关联的 Amazon VPC、ENIs子网、安全组。 -
Amazon KMS
权限 — 用于描述与集群关联的密钥。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "kafka:Describe*", "kafka:List*", "kafka:Get*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
Amazon 托管策略: KafkaServiceRolePolicy
你无法附着 KafkaServiceRolePolicy 在你的IAM实体上。此策略附加到服务相关角色,该角色允许 Amazon MSK 执行诸如管理MSK集群上的VPC终端节点(连接器)、管理网络接口和管理集群凭 Amazon Secrets Manager证等操作。有关更多信息,请参阅 使用适用于 Amazon 的服务相关角色 MSK。
Amazon 托管策略: AWSMSKReplicatorExecutionRole
该AWSMSKReplicatorExecutionRole
策略向 Amazon MSK 复制器授予在MSK集群之间复制数据的权限。此策略中的权限如下分组:
-
cluster
— 授予 Amazon MSK Replicator 使用IAM身份验证连接到集群的权限。还授予描述和更改集群的权限。 -
topic
— 授予 Amazon MSK Replicator 描述、创建和更改主题以及更改主题动态配置的权限。 -
consumer group
— 授予 Amazon MSK Replicator 描述和更改使用者组、读取和写入MSK集群中的日期以及删除复制器创建的内部主题的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ClusterPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:WriteDataIdempotently" ], "Resource": [ "arn:aws:kafka:*:*:cluster/*" ] }, { "Sid": "TopicPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:DescribeTopic", "kafka-cluster:CreateTopic", "kafka-cluster:AlterTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopicDynamicConfiguration", "kafka-cluster:AlterTopicDynamicConfiguration", "kafka-cluster:AlterCluster" ], "Resource": [ "arn:aws:kafka:*:*:topic/*/*" ] }, { "Sid": "GroupPermissions", "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:*:*:group/*/*" ] } ] }
亚马逊MSK更新了托 Amazon 管政策
查看MSK自该服务开始跟踪这些变更以来亚马逊 Amazon 托管政策更新的详细信息。
更改 | 描述 | 日期 |
---|---|---|
WriteDataIdempotently 权限已添加到 AWSMSKReplicatorExecutionRole-更新现有策略 |
Amazon 为 AWSMSKReplicatorExecutionRole 策略MSK添加了支持MSK集群间数据复制的 WriteDataIdempotently 权限。 |
2024 年 3 月 12 日 |
AWSMSKReplicatorExecutionRole:新策略 |
亚马逊MSK增加了支持 Amazon MSK Replicator 的 AWSMSKReplicatorExecutionRole 政策。 |
2023 年 12 月 4 日 |
mazonMSKFull访问权限-对现有策略的更新 |
亚马逊MSK增加了支持 Amazon MSK Replicator 的权限。 |
2023 年 9 月 28 日 |
KafkaServiceRolePolicy – 更新到现有策略 |
Amazon MSK 增加了支持多VPC私有连接的权限。 |
2023 年 3 月 8 日 |
mazonMSKFull访问权限-对现有策略的更新 |
Amazon MSK 添加了新的亚马逊EC2权限,使连接集群成为可能。 |
2021 年 11 月 30 日 |
mazonMSKFull访问权限-对现有策略的更新 |
亚马逊MSK添加了一项新权限,允许其描述亚马逊EC2路由表。 |
2021 年 11 月 19 日 |
亚马逊MSK开始追踪变更 |
亚马逊MSK开始跟踪其 Amazon 托管政策的变更。 |
2021 年 11 月 19 日 |