本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon MSK 的服务相关角色权限
Amazon MSK 使用名为 AWSServiceRoleForKafka 的服务相关角色。Amazon MSK 使用此角色来访问您的资源并执行以下操作:
-
*NetworkInterface– 在客户账户中创建和管理网络接口,使客户 VPC 中的客户端可以访问集群代理。 -
*VpcEndpoints— 在客户账户中管理 VPC 端点,使客户 VPC 中的客户端可以使用访问集群代理 Amazon PrivateLink。Amazon MSK 对DescribeVpcEndpoints、ModifyVpcEndpoint和DeleteVpcEndpoints使用权限。 -
secretsmanager— 使用管理客户凭证 Amazon Secrets Manager。 -
GetCertificateAuthorityCertificate– 检索私有证书颁发机构的证书。
此服务相关角色附加到以下托管策略:KafkaServiceRolePolicy。有关此策略的更新,请参阅KafkaServiceRolePolicy。
AWSServiceRoleForKafka 服务相关角色信任以下服务代入该角色:
-
kafka.amazonaws.com
角色权限策略允许 Amazon MSK 对资源完成以下操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:CreateNetworkInterfacePermission", "ec2:AttachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DetachNetworkInterface", "ec2:DescribeVpcEndpoints", "acm-pca:GetCertificateAuthorityCertificate", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint" ], "Resource": "arn:*:ec2:*:*:subnet/*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint" ], "Resource": "arn:*:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSMSKManaged": "true" }, "StringLike": { "ec2:ResourceTag/ClusterArn": "*" } } }, { "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:PutResourcePolicy", "secretsmanager:DeleteResourcePolicy", "secretsmanager:DescribeSecret" ], "Resource": "*", "Condition": { "ArnLike": { "secretsmanager:SecretId": "arn:*:secretsmanager:*:*:secret:AmazonMSK_*" } } } ] }
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。