View a markdown version of this page

Zusätzliche SER-Berechtigungen für SASL/SCRAM und vom Kunden verwaltete Schlüssel - Amazon Managed Streaming für Apache Kafka

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zusätzliche SER-Berechtigungen für SASL/SCRAM und vom Kunden verwaltete Schlüssel

Die AWSMSKReplicatorExecutionRole verwaltete Richtlinie deckt Cluster-, Themen- und Nutzergruppenberechtigungen für die IAM-Authentifizierung ab. Wenn Sie zu oder von einem Cluster replizieren, der SASL/SCRAM Authentifizierung verwendet (z. B. bei der Migration von einem selbstverwalteten Apache Kafka-Cluster), oder wenn Ihr geheimes SCRAM-Zertifikat oder Ihr privates CA-Zertifikat mit einem vom Kunden verwalteten Schlüssel (CMK) verschlüsselt ist, müssen Sie der Dienstausführungsrolle zusätzliche Inline-Berechtigungen zuweisen.

Verwenden Sie zusätzlich zur verwalteten Richtlinie die folgenden Codefragmente. Wählen Sie das Szenario aus, das zu Ihrem Setup passt.

SASL/SCRAM geheim (mit oder ohne TLS Root-CA-Geheimnis)

Erteilt dem SER die Berechtigung, die SCRAM-Anmeldeinformationen und (optional) das private CA-Zertifikat von AWS Secrets Manager zu lesen. <saslSecretArn>Ersetzen Sie es durch Ihren geheimen SCRAM-ARN und <privateCaCertSecretArn> durch das Geheimnis, das das CA-Zertifikat enthält (lassen Sie den zweiten ARN weg, wenn Sie ein öffentlich vertrauenswürdiges Zertifikat verwenden).

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
SCRAM-Secret oder CA-Zertifikat, verschlüsselt mit einem vom Kunden verwalteten Schlüssel

Wenn der geheime Schlüssel oder das Zertifikat nicht mit dem AWS verwalteten Schlüssel, sondern mit einem CMK verschlüsselt ist, gewähren Sie dies auch kms:Decrypt auf dem CMK. Durch <customerManagedKeyArn> den CMK ARN ersetzen.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}
Anmerkung

Wenn Sie einen breiteren Geltungsbereich bevorzugen, der den Berechtigungen des MSK Connect-Konfigurationsanbieters entspricht, können Sie anstelle einzelner geheimer arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_* ARNs das Ressourcenmuster verwenden.