Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Peran dan kebijakan IAM untuk MSK Connect
Bagian ini membantu Anda menyiapkan kebijakan dan peran IAM yang sesuai untuk menerapkan dan mengelola Amazon MSK Connect dengan aman di lingkungan Anda. AWS Bagian berikut menjelaskan peran eksekusi layanan yang harus digunakan dengan MSK Connect, termasuk kebijakan kepercayaan yang diperlukan dan izin tambahan yang diperlukan saat menghubungkan ke kluster MSK yang diautentikasi oleh IAM. Halaman ini juga menyediakan contoh kebijakan IAM komprehensif untuk memberikan akses penuh ke fungsionalitas MSK Connect, serta detail tentang kebijakan AWS terkelola yang tersedia untuk layanan.
**Topics**
+ [Memahami peran eksekusi layanan](msk-connect-service-execution-role.md)
+ [Contoh kebijakan IAM untuk MSK Connect](mkc-iam-policy-examples.md)
+ [Mencegah masalah wakil lintas layanan yang membingungkan](cross-service-confused-deputy-prevention.md)
+ [AWS kebijakan terkelola untuk MSK Connect](mkc-security-iam-awsmanpol.md)
+ [Menggunakan peran terkait layanan untuk MSK Connect](mkc-using-service-linked-roles.md)
# Memahami peran eksekusi layanan
**catatan**
Amazon MSK Connect tidak mendukung penggunaan peran [Service-linked sebagai peran](mkc-using-service-linked-roles.md) eksekusi layanan. Anda harus membuat peran eksekusi layanan terpisah. Untuk petunjuk tentang cara membuat peran IAM kustom, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.
Saat membuat konektor dengan MSK Connect, Anda harus menentukan peran AWS Identity and Access Management (IAM) yang akan digunakan dengannya. Peran eksekusi layanan Anda harus memiliki kebijakan kepercayaan berikut sehingga MSK Connect dapat menerapkannya. Untuk informasi tentang kunci konteks kondisi dalam kebijakan ini, lihat[Mencegah masalah wakil lintas layanan yang membingungkan](cross-service-confused-deputy-prevention.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "kafkaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:kafkaconnect:us-east-1:123456789012:connector/myConnector/abc12345-abcd-4444-a8b9-123456f513ed-2"
}
}
}
]
}
```
------
Jika klaster MSK Amazon yang ingin Anda gunakan dengan konektor adalah klaster yang menggunakan autentikasi IAM, maka Anda harus menambahkan kebijakan izin berikut ke peran eksekusi layanan konektor. Untuk informasi tentang cara menemukan UUID klaster Anda dan cara membuat topik ARNs, lihat. [Sumber daya kebijakan otorisasi](kafka-actions.md#msk-iam-resources)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka-cluster:Connect",
"kafka-cluster:DescribeCluster"
],
"Resource": [
"arn:aws:kafka:us-east-1:000000000001:cluster/testClusterName/300d0000-0000-0005-000f-00000000000b-1"
]
},
{
"Effect": "Allow",
"Action": [
"kafka-cluster:ReadData",
"kafka-cluster:DescribeTopic"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:topic/myCluster/300a0000-0000-0003-000a-00000000000b-6/__amazon_msk_connect_read"
]
},
{
"Effect": "Allow",
"Action": [
"kafka-cluster:WriteData",
"kafka-cluster:DescribeTopic"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:topic/testCluster/300f0000-0000-0008-000d-00000000000m-7/__amazon_msk_connect_write"
]
},
{
"Effect": "Allow",
"Action": [
"kafka-cluster:CreateTopic",
"kafka-cluster:WriteData",
"kafka-cluster:ReadData",
"kafka-cluster:DescribeTopic"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:topic/testCluster/300f0000-0000-0008-000d-00000000000m-7/__amazon_msk_connect_*"
]
},
{
"Effect": "Allow",
"Action": [
"kafka-cluster:AlterGroup",
"kafka-cluster:DescribeGroup"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:group/testCluster/300d0000-0000-0005-000f-00000000000b-1/__amazon_msk_connect_*",
"arn:aws:kafka:us-east-1:123456789012:group/testCluster/300d0000-0000-0005-000f-00000000000b-1/connect-*"
]
}
]
}
```
------
Bergantung pada jenis konektornya, Anda mungkin juga perlu melampirkan kebijakan izin ke peran eksekusi layanan yang memungkinkannya mengakses AWS sumber daya. Misalnya, jika konektor Anda perlu mengirim data ke bucket S3, maka peran eksekusi layanan harus memiliki kebijakan izin yang memberikan izin untuk menulis ke bucket tersebut. Untuk tujuan pengujian, Anda dapat menggunakan salah satu kebijakan IAM pra-bangun yang memberikan akses penuh, seperti. `arn:aws:iam::aws:policy/AmazonS3FullAccess` Namun, untuk tujuan keamanan, kami menyarankan Anda menggunakan kebijakan paling ketat yang memungkinkan konektor Anda membaca dari AWS sumber atau menulis ke AWS wastafel.
# Contoh kebijakan IAM untuk MSK Connect
Untuk memberi pengguna non-admin akses penuh ke semua fungsionalitas MSK Connect, lampirkan kebijakan seperti berikut ini ke peran IAM pengguna.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MSKConnectFullAccess",
"Effect": "Allow",
"Action": [
"kafkaconnect:CreateConnector",
"kafkaconnect:DeleteConnector",
"kafkaconnect:DescribeConnector",
"kafkaconnect:ListConnectors",
"kafkaconnect:UpdateConnector",
"kafkaconnect:CreateCustomPlugin",
"kafkaconnect:DeleteCustomPlugin",
"kafkaconnect:DescribeCustomPlugin",
"kafkaconnect:ListCustomPlugins",
"kafkaconnect:CreateWorkerConfiguration",
"kafkaconnect:DeleteWorkerConfiguration",
"kafkaconnect:DescribeWorkerConfiguration",
"kafkaconnect:ListWorkerConfigurations"
],
"Resource": "*"
},
{
"Sid": "IAMPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/MSKConnectServiceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "kafkaconnect.amazonaws.com"
}
}
},
{
"Sid": "EC2NetworkAccess",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "MSKClusterAccess",
"Effect": "Allow",
"Action": [
"kafka:DescribeCluster",
"kafka:DescribeClusterV2",
"kafka:GetBootstrapBrokers"
],
"Resource": "arn:aws:kafka:us-east-1:123456789012:cluster/myCluster/"
},
{
"Sid": "MSKLogGroupAccess",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/msk-connect/*"
]
},
{
"Sid": "S3PluginAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1-custom-plugins",
"arn:aws:s3:::amzn-s3-demo-bucket1-custom-plugins/*"
]
}
]
}
```
------
# Mencegah masalah wakil lintas layanan yang membingungkan
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan MSK Connect kepada layanan lain ke sumber daya. Jika `aws:SourceArn` nilai tidak berisi ID akun (misalnya, ARN bucket Amazon S3 tidak berisi ID akun), Anda harus menggunakan kedua kunci konteks kondisi global untuk membatasi izin. Jika Anda menggunakan kunci konteks kondisi global dan nilai `aws:SourceArn` berisi ID akun, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Dalam kasus MSK Connect, nilai `aws:SourceArn` harus berupa konektor MSK.
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, *arn:aws:kafkaconnect:us-east-1:123456789012:connector/\$1* mewakili semua konektor yang termasuk dalam akun dengan ID 123456789012 di Wilayah AS Timur (Virginia N.).
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan `aws:SourceArn` dan kunci konteks kondisi `aws:SourceAccount` global di MSK Connect untuk mencegah masalah wakil bingung. Ganti *123456789012* dan arn:aws:kafkaconnect: ::connector//dengan informasi Anda dan *us-east-1* konektor*123456789012*. *my-S3-Sink-Connector* *abcd1234-5678-90ab-cdef-1234567890ab* Akun AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": " kafkaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:kafkaconnect:us-east-1:123456789012:connector/my-S3-Sink-Connector/abcd1234-5678-90ab-cdef-1234567890ab"
}
}
}
]
}
```
------
# AWS kebijakan terkelola untuk MSK Connect
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: Amazon MSKConnect ReadOnlyAccess
Kebijakan ini memberi pengguna izin yang diperlukan untuk mencantumkan dan menjelaskan sumber daya MSK Connect.
Anda dapat melampirkan kebijakan `AmazonMSKConnectReadOnlyAccess` ke identitas IAM Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafkaconnect:ListConnectors",
"kafkaconnect:ListCustomPlugins",
"kafkaconnect:ListWorkerConfigurations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kafkaconnect:DescribeConnector"
],
"Resource": [
"arn:aws:kafkaconnect:*:*:connector/*"
]
},
{
"Effect": "Allow",
"Action": [
"kafkaconnect:DescribeCustomPlugin"
],
"Resource": [
"arn:aws:kafkaconnect:*:*:custom-plugin/*"
]
},
{
"Effect": "Allow",
"Action": [
"kafkaconnect:DescribeWorkerConfiguration"
],
"Resource": [
"arn:aws:kafkaconnect:*:*:worker-configuration/*"
]
}
]
}
```
------
## AWS kebijakan terkelola: KafkaConnectServiceRolePolicy
Kebijakan ini memberi layanan MSK Connect izin yang diperlukan untuk membuat dan mengelola antarmuka jaringan yang memiliki tag. `AmazonMSKConnectManaged:true` Antarmuka jaringan ini memberikan akses jaringan MSK Connect ke sumber daya di VPC Amazon Anda, seperti cluster Apache Kafka atau sumber atau wastafel.
Anda tidak dapat melampirkan KafkaConnectServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan MSK Connect melakukan tindakan atas nama Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/AmazonMSKConnectManaged": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonMSKConnectManaged"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:AttachNetworkInterface",
"ec2:DetachNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMSKConnectManaged": "true"
}
}
}
]
}
```
------
## MSK Connect memperbarui kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk MSK Connect sejak layanan ini mulai melacak perubahan ini.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| MSK Connect memperbarui kebijakan hanya-baca | MSK Connect memperbarui MSKConnect ReadOnlyAccess kebijakan Amazon untuk menghapus pembatasan operasi listing. | 13 Oktober 2021 |
| MSK Connect mulai melacak perubahan | MSK Connect mulai melacak perubahan untuk kebijakan AWS terkelolanya. | 14 September 2021 |
# Menggunakan peran terkait layanan untuk MSK Connect
Amazon MSK Connect menggunakan peran AWS Identity and Access Management terkait [layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke MSK Connect. Peran terkait layanan telah ditentukan sebelumnya oleh MSK Connect dan mencakup semua izin yang diperlukan layanan untuk memanggil layanan lain AWS atas nama Anda.
Peran terkait layanan membuat pengaturan MSK Connect menjadi lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. MSK Connect mendefinisikan izin dari peran terkait layanan, dan kecuali ditentukan lain, hanya MSK Connect yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang Berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan cari layanan yang memiliki **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk MSK Connect
MSK Connect menggunakan peran terkait layanan bernama — **AWSServiceRoleForKafkaConnect**Memungkinkan Amazon MSK Connect mengakses sumber daya Amazon atas nama Anda.
Peran AWSService RoleForKafkaConnect terkait layanan mempercayai `kafkaconnect.amazonaws.com` layanan untuk mengambil peran tersebut.
Untuk informasi tentang kebijakan izin yang digunakan peran, lihat[AWS kebijakan terkelola: KafkaConnectServiceRolePolicy](mkc-security-iam-awsmanpol.md#security-iam-awsmanpol-KafkaConnectServiceRolePolicy).
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk MSK Connect
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat konektor di, API Konsol Manajemen AWS, atau AWS API AWS CLI, MSK Connect membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat konektor, MSK Connect membuat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk MSK Connect
MSK Connect tidak mengizinkan Anda mengedit peran AWSService RoleForKafkaConnect terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk MSK Connect
Anda dapat menggunakan konsol IAM, AWS CLI atau AWS API untuk menghapus peran terkait layanan secara manual. Untuk melakukan ini, Anda harus terlebih dahulu menghapus semua konektor MSK Connect Anda secara manual, dan kemudian Anda dapat menghapus peran secara manual. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk peran terkait layanan MSK Connect
MSK Connect mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [Wilayah dan Titik Akhir AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).