View a markdown version of this page

Permisos SER adicionales y claves administradas por el SASL/SCRAM cliente - Transmisión administrada de Amazon para Apache Kafka

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos SER adicionales y claves administradas por el SASL/SCRAM cliente

La política AWSMSKReplicatorExecutionRole gestionada cubre los permisos de clústeres, temas y grupos de consumidores para la autenticación de IAM. Cuando realiza replicaciones hacia o desde un clúster que utiliza SASL/SCRAM autenticación (por ejemplo, al migrar desde un clúster autogestionado de Apache Kafka), o cuando su certificado de CA privado o secreto de SCRAM está cifrado con una clave gestionada por el cliente (CMK), debe adjuntar permisos adicionales integrados a la función de ejecución del servicio.

Utilice los siguientes fragmentos además de la política gestionada. Elija el escenario que se adapte a su configuración.

SASL/SCRAM secreto (con o sin el secreto de la CA raíz de TLS)

Otorga al SER permiso para leer las credenciales de SCRAM y (opcionalmente) el certificado de CA privado desde. AWS Secrets Manager<saslSecretArn>Sustitúyalo por el ARN secreto de SCRAM <privateCaCertSecretArn> y por el secreto que contiene el certificado de CA (omita el segundo ARN si utiliza un certificado de confianza pública).

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
El secreto de SCRAM o el certificado de CA están cifrados con una clave gestionada por el cliente

Si el secreto o el certificado se cifra con una CMK en lugar de con la clave AWS administrada, escríbalo también kms:Decrypt en la CMK. <customerManagedKeyArn>Sustitúyalo por el ARN CMK.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}
nota

Si prefiere un ámbito más amplio y coherente con los permisos del proveedor de configuración de MSK Connect, puede utilizarlos arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_* como patrón de recursos en lugar de los ARN secretos individuales.