View a markdown version of this page

Permisos de IAM obligatorios para crear un Replicador MSK - Transmisión administrada de Amazon para Apache Kafka
Política básica de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de IAM obligatorios para crear un Replicador MSK

El principal de IAM (usuario o rol) al que llama CreateReplicator necesita los permisos que se describen en esta sección. Adjunte esta política a la identidad de IAM que corresponda a su cliente. Para obtener orientación general sobre la creación de políticas de autorización, consulte Crear políticas de autorización.

Comience con la política básica que aparece a continuación. Si también configura la entrega de registros, añada el fragmento a cada destino que utilice (consulte). Permisos adicionales para la entrega de registros Para ver los escenarios de migración autogestionada de Apache Kafka, consulte la guía adicional sobre las funciones de ejecución de servicios en. Migre de clústeres de Apache Kafka que no son de MSK a corredores de Amazon MSK Express

Política básica de IAM

Sustituya los marcadores de posición por su ID de cuenta Región de AWS, nombre de la función de ejecución del servicio y los ARN de los clústeres de origen y destino. La acción solo kafka:TagResource es necesaria si proporciona etiquetas durante la creación.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "MSKReplicatorIAMPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<accountID>:role/<serviceExecutionRoleName>",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kafka.amazonaws.com"
                }
            }
        },
        {
            "Sid": "MSKReplicatorServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
        },
        {
            "Sid": "MSKReplicatorActions",
            "Effect": "Allow",
            "Action": [
                "kafka:CreateReplicator",
                "kafka:DescribeReplicator",
                "kafka:DeleteReplicator",
                "kafka:ListReplicators",
                "kafka:ListTagsForResource",
                "kafka:UpdateReplicationInfo",
                "kafka:TagResource"
            ],
            "Resource": [
                "arn:aws:kafka:<region>:<accountID>:replicator/*"
            ]
        },
        {
            "Sid": "MSKReplicatorListActions",
            "Effect": "Allow",
            "Action": [
                "kafka:ListReplicators"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EC2Actions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "MSKClusterActions",
            "Effect": "Allow",
            "Action": [
                "kafka:GetBootstrapBrokers",
                "kafka:DescribeClusterV2"
            ],
            "Resource": [
                "<sourceClusterArn>",
                "<targetClusterArn>"
            ]
        }
    ]
}
nota

Las ec2:DescribeVpcs acciones ec2:DescribeSubnetsec2:DescribeSecurityGroups, y no admiten permisos a nivel de recurso, por lo que debe especificarlos. "Resource": "*" Consulte las claves de condición, recursos y acciones para obtener información de referencia sobre Amazon EC2.