基于 Amazon MSK 标签的授权 - Amazon Managed Streaming for Apache Kafka
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基于 Amazon MSK 标签的授权

您可以将标签附加到 Amazon MSK 集群。要基于标签控制访问,您需要使用 kafka:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys 条件键在策略的条件元素中提供标签信息。有关标记 Amazon MSK 资源的信息,请参阅。为 Amazon MSK 集群添加标签

您只能借助标签来控制集群访问权限。要为主题和消费者组添加标签,您需要在策略中添加一条不带标签的单独声明。

要查看基于身份的策略示例,了解如何基于集群上的标签限制对该集群的访问,请参阅。根据标签访问 Amazon MSK 集群

您可以在基于身份的策略中使用条件,以便基于标签控制对 Amazon MSK 资源的访问权限。以下示例显示了一个策略,该策略允许用户描述集群、获取其引导代理、列出其代理节点、对其进行更新和删除。不过,仅当集群标签Owner具有该用户的值时,此策略才会授予相应权限username。以下策略中的第二条语句允许对集群上的主题的访问。本策略中的第一条语句不授权任何主题访问。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessClusterIfOwner",
      "Effect": "Allow",
      "Action": [
        "kafka:Describe*",
        "kafka:Get*",
        "kafka:List*",
        "kafka:Update*",
        "kafka:Delete*"
      ],
      "Resource": "arn:aws:kafka:us-east-1:123456789012:cluster/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Owner": "${aws:username}"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "kafka-cluster:*Topic*",
        "kafka-cluster:WriteData",
        "kafka-cluster:ReadData"
      ],
      "Resource": [
        "arn:aws:kafka:us-east-1:123456789012:topic/*"
      ]
    }
  ]
}