Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon MSK 的服务相关角色权限
Amazon MSK 使用名为 AWSServiceRoleForKafka 的服务相关角色。Amazon MSK 使用此角色来访问您的资源并执行以下操作:
-
*NetworkInterface – 在客户账户中创建和管理网络接口,使客户 VPC 中的客户端可以访问集群代理。
-
*VpcEndpoints— 管理客户账户中的 VPC 终端节点,这些终端节点允许客户 VPC 中的客户使用集群代理 Amazon PrivateLink。Amazon MSK 对 DescribeVpcEndpoints、ModifyVpcEndpoint 和 DeleteVpcEndpoints 使用权限。
-
secretsmanager— 使用管理客户凭证 Amazon Secrets Manager。
-
GetCertificateAuthorityCertificate – 检索私有证书颁发机构的证书。
此服务相关角色附加到以下托管策略:KafkaServiceRolePolicy。有关此策略的更新,请参阅KafkaServiceRolePolicy。
AWSServiceRoleForKafka 服务相关角色信任以下服务代入该角色:
角色权限策略允许 Amazon MSK 对资源完成以下操作。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:AttachNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DetachNetworkInterface",
"ec2:DescribeVpcEndpoints",
"acm-pca:GetCertificateAuthorityCertificate",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpoint"
],
"Resource": "arn:*:ec2:*:*:subnet/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint"
],
"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AWSMSKManaged": "true"
},
"StringLike": {
"ec2:ResourceTag/ClusterArn": "*"
}
}
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:PutResourcePolicy",
"secretsmanager:DeleteResourcePolicy",
"secretsmanager:DescribeSecret"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"secretsmanager:SecretId": "arn:*:secretsmanager:*:*:secret:AmazonMSK_*"
}
}
}
]
}
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。