View a markdown version of this page

Autorisations IAM requises pour créer un réplicateur MSK - Amazon Managed Streaming for Apache Kafka
Politique IAM de base

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations IAM requises pour créer un réplicateur MSK

Le principal IAM (utilisateur ou rôle) qui appelle CreateReplicator a besoin des autorisations décrites dans cette section. Associez cette politique à l'identité IAM correspondant à votre client. Pour obtenir des conseils généraux sur la création de politiques d'autorisation, voir Créer des politiques d'autorisation.

Commencez par la politique de base ci-dessous. Si vous configurez également la livraison du journal, ajoutez l'extrait pour chaque destination que vous utilisez (voir). Autorisations supplémentaires pour la livraison des journaux Pour les scénarios de migration autogérés d'Apache Kafka, consultez les instructions supplémentaires relatives aux rôles d'exécution de services dans. Migrez des clusters Apache Kafka autres que MSK vers les courtiers Amazon MSK Express

Politique IAM de base

Remplacez les espaces réservés par votre identifiant de compte Région AWS, le nom du rôle d'exécution du service et les ARN du cluster source et cible. L'action n'kafka:TagResourceest nécessaire que si vous fournissez des balises lors de la création.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "MSKReplicatorIAMPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<accountID>:role/<serviceExecutionRoleName>",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kafka.amazonaws.com"
                }
            }
        },
        {
            "Sid": "MSKReplicatorServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
        },
        {
            "Sid": "MSKReplicatorActions",
            "Effect": "Allow",
            "Action": [
                "kafka:CreateReplicator",
                "kafka:DescribeReplicator",
                "kafka:DeleteReplicator",
                "kafka:ListReplicators",
                "kafka:ListTagsForResource",
                "kafka:UpdateReplicationInfo",
                "kafka:TagResource"
            ],
            "Resource": [
                "arn:aws:kafka:<region>:<accountID>:replicator/*"
            ]
        },
        {
            "Sid": "MSKReplicatorListActions",
            "Effect": "Allow",
            "Action": [
                "kafka:ListReplicators"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EC2Actions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "MSKClusterActions",
            "Effect": "Allow",
            "Action": [
                "kafka:GetBootstrapBrokers",
                "kafka:DescribeClusterV2"
            ],
            "Resource": [
                "<sourceClusterArn>",
                "<targetClusterArn>"
            ]
        }
    ]
}
Note

Les ec2:DescribeVpcs actions ec2:DescribeSubnetsec2:DescribeSecurityGroups, et ne prennent pas en charge les autorisations au niveau des ressources. Vous devez donc les spécifier. "Resource": "*" Consultez les actions, les ressources et les clés de condition pour la référence Amazon EC2.