View a markdown version of this page

Autorisations SER supplémentaires pour SASL/SCRAM les clés gérées par le client - Amazon Managed Streaming for Apache Kafka

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations SER supplémentaires pour SASL/SCRAM les clés gérées par le client

La politique AWSMSKReplicatorExecutionRole gérée couvre les autorisations de cluster, de sujet et de groupe de consommateurs pour l'authentification IAM. Lorsque vous répliquez vers ou depuis un cluster qui utilise l' SASL/SCRAM authentification (par exemple, lors de la migration depuis un cluster Apache Kafka autogéré), ou lorsque votre certificat secret SCRAM ou votre certificat CA privé est chiffré à l'aide d'une clé gérée par le client (CMK), vous devez associer des autorisations intégrées supplémentaires au rôle d'exécution du service.

Utilisez les extraits ci-dessous en plus de la politique gérée. Choisissez le scénario qui correspond à votre configuration.

SASL/SCRAM secret (avec ou sans secret CA racine TLS)

Accorde au SER l'autorisation de lire les informations d'identification SCRAM et (éventuellement) le certificat privé de l'autorité de AWS Secrets Manager certification. Remplacez-le <saslSecretArn> par votre ARN secret SCRAM et <privateCaCertSecretArn> par le secret contenant le certificat CA (omettez le second ARN si vous utilisez un certificat approuvé publiquement).

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
Secret SCRAM ou certificat CA chiffré avec une clé gérée par le client

Si le secret ou le certificat est chiffré avec une clé CMK plutôt qu'avec la clé AWS gérée, accordez également une autorisation kms:Decrypt sur la clé CMK. Remplacez <customerManagedKeyArn> par l'ARN CMK.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}
Note

Si vous préférez une portée plus large conforme aux autorisations du fournisseur de configuration MSK Connect, vous pouvez l'utiliser arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_* comme modèle de ressources au lieu d'ARN secrets individuels.