Izin IAM diperlukan untuk membuat Replikator MSK

Prinsipal IAM (pengguna atau peran) yang memanggil CreateReplicator memerlukan izin yang dijelaskan di bagian ini. Lampirkan kebijakan ini ke identitas IAM yang sesuai dengan klien Anda. Untuk panduan umum tentang membuat kebijakan otorisasi, lihat Membuat kebijakan otorisasi.

Mulailah dengan kebijakan dasar di bawah ini. Jika Anda juga mengonfigurasi pengiriman log, tambahkan cuplikan untuk setiap tujuan yang Anda gunakan (lihat). Izin tambahan untuk pengiriman log Untuk skenario migrasi Apache Kafka yang dikelola sendiri, lihat panduan peran eksekusi layanan tambahan di. Bermigrasi dari cluster Apache Kafka non-MSK ke broker Amazon MSK Express

Kebijakan IAM dasar

Ganti placeholder dengan ID akun Anda Wilayah AWS, nama peran eksekusi layanan, dan ARN cluster sumber dan target. Tindakan kafka:TagResource ini hanya diperlukan jika Anda memberikan tag selama pembuatan.


{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "MSKReplicatorIAMPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<accountID>:role/<serviceExecutionRoleName>",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kafka.amazonaws.com"
                }
            }
        },
        {
            "Sid": "MSKReplicatorServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
        },
        {
            "Sid": "MSKReplicatorActions",
            "Effect": "Allow",
            "Action": [
                "kafka:CreateReplicator",
                "kafka:DescribeReplicator",
                "kafka:DeleteReplicator",
                "kafka:ListReplicators",
                "kafka:ListTagsForResource",
                "kafka:UpdateReplicationInfo",
                "kafka:TagResource"
            ],
            "Resource": [
                "arn:aws:kafka:<region>:<accountID>:replicator/*"
            ]
        },
        {
            "Sid": "MSKReplicatorListActions",
            "Effect": "Allow",
            "Action": [
                "kafka:ListReplicators"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EC2Actions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "MSKClusterActions",
            "Effect": "Allow",
            "Action": [
                "kafka:GetBootstrapBrokers",
                "kafka:DescribeClusterV2"
            ],
            "Resource": [
                "<sourceClusterArn>",
                "<targetClusterArn>"
            ]
        }
    ]
}

catatan

ec2:DescribeVpcsTindakanec2:DescribeSubnets,ec2:DescribeSecurityGroups, dan tidak mendukung izin tingkat sumber daya, jadi Anda harus menentukan. "Resource": "*" Lihat tombol Tindakan, sumber daya, dan kondisi untuk referensi Amazon EC2.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Enkripsi

Izin pengiriman log