View a markdown version of this page

Für die Erstellung eines MSK-Replikators sind IAM-Berechtigungen erforderlich - Amazon Managed Streaming für Apache Kafka
IAM-Grundrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Für die Erstellung eines MSK-Replikators sind IAM-Berechtigungen erforderlich

Der IAM-Prinzipal (Benutzer oder Rolle), der aufruft, CreateReplicator benötigt die in diesem Abschnitt beschriebenen Berechtigungen. Ordnen Sie diese Richtlinie der IAM-Identität zu, die Ihrem Client entspricht. Allgemeine Hinweise zur Erstellung von Autorisierungsrichtlinien finden Sie unter Autorisierungsrichtlinien erstellen.

Beginnen Sie mit der unten stehenden Basisrichtlinie. Wenn Sie auch die Protokollzustellung konfigurieren, fügen Sie das Snippet für jedes von Ihnen verwendete Ziel an (siehe). Zusätzliche Berechtigungen für die Protokollzustellung Weitere Informationen zu selbstverwalteten Apache Kafka-Migrationsszenarien finden Sie unter. Migrieren Sie von Apache Kafka-Clustern, die nicht von MSK stammen, zu Amazon MSK Express-Brokern

IAM-Grundrichtlinie

Ersetzen Sie die Platzhalter durch Ihre Konto-ID AWS-Region, den Namen der Dienstausführungsrolle sowie Quell- und Zielcluster-ARNs. Die Aktion kafka:TagResource ist nur erforderlich, wenn Sie bei der Erstellung Tags angeben.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "MSKReplicatorIAMPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<accountID>:role/<serviceExecutionRoleName>",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kafka.amazonaws.com"
                }
            }
        },
        {
            "Sid": "MSKReplicatorServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
        },
        {
            "Sid": "MSKReplicatorActions",
            "Effect": "Allow",
            "Action": [
                "kafka:CreateReplicator",
                "kafka:DescribeReplicator",
                "kafka:DeleteReplicator",
                "kafka:ListReplicators",
                "kafka:ListTagsForResource",
                "kafka:UpdateReplicationInfo",
                "kafka:TagResource"
            ],
            "Resource": [
                "arn:aws:kafka:<region>:<accountID>:replicator/*"
            ]
        },
        {
            "Sid": "MSKReplicatorListActions",
            "Effect": "Allow",
            "Action": [
                "kafka:ListReplicators"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EC2Actions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "MSKClusterActions",
            "Effect": "Allow",
            "Action": [
                "kafka:GetBootstrapBrokers",
                "kafka:DescribeClusterV2"
            ],
            "Resource": [
                "<sourceClusterArn>",
                "<targetClusterArn>"
            ]
        }
    ]
}
Anmerkung

Die ec2:DescribeVpcs Aktionen ec2:DescribeSubnetsec2:DescribeSecurityGroups, und unterstützen keine Berechtigungen auf Ressourcenebene, daher müssen Sie Folgendes angeben. "Resource": "*" Weitere Informationen finden Sie in der Referenz Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2.