View a markdown version of this page

Autorizzazioni IAM necessarie per creare un replicatore MSK - Amazon Managed Streaming per Apache Kafka
Politica IAM di base

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni IAM necessarie per creare un replicatore MSK

Il principale IAM (utente o ruolo) che chiama CreateReplicator necessita delle autorizzazioni descritte in questa sezione. Collega questa policy all'identità IAM che corrisponde al tuo client. Per indicazioni generali sulla creazione di politiche di autorizzazione, consulta Creare politiche di autorizzazione.

Inizia con la politica di base riportata di seguito. Se configuri anche la consegna dei log, aggiungi lo snippet per ogni destinazione che usi (vedi). Autorizzazioni aggiuntive per la consegna dei log Per gli scenari di migrazione di Apache Kafka autogestiti, consulta le linee guida aggiuntive sui ruoli di esecuzione del servizio in. Esegui la migrazione da cluster Apache Kafka non MSK a broker Amazon MSK Express

Politica IAM di base

Sostituisci i segnaposto con l'ID dell'account Regione AWS, il nome del ruolo di esecuzione del servizio e gli ARN del cluster di origine e di destinazione. L'azione kafka:TagResource è necessaria solo se fornisci tag durante la creazione.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "MSKReplicatorIAMPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<accountID>:role/<serviceExecutionRoleName>",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kafka.amazonaws.com"
                }
            }
        },
        {
            "Sid": "MSKReplicatorServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
        },
        {
            "Sid": "MSKReplicatorActions",
            "Effect": "Allow",
            "Action": [
                "kafka:CreateReplicator",
                "kafka:DescribeReplicator",
                "kafka:DeleteReplicator",
                "kafka:ListReplicators",
                "kafka:ListTagsForResource",
                "kafka:UpdateReplicationInfo",
                "kafka:TagResource"
            ],
            "Resource": [
                "arn:aws:kafka:<region>:<accountID>:replicator/*"
            ]
        },
        {
            "Sid": "MSKReplicatorListActions",
            "Effect": "Allow",
            "Action": [
                "kafka:ListReplicators"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EC2Actions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "MSKClusterActions",
            "Effect": "Allow",
            "Action": [
                "kafka:GetBootstrapBrokers",
                "kafka:DescribeClusterV2"
            ],
            "Resource": [
                "<sourceClusterArn>",
                "<targetClusterArn>"
            ]
        }
    ]
}
Nota

Le azioni ec2:DescribeSubnetsec2:DescribeSecurityGroups, e non supportano le ec2:DescribeVpcs autorizzazioni a livello di risorsa, quindi è necessario specificare. "Resource": "*" Consulta le azioni, le risorse e i codici di condizione per il riferimento ad Amazon EC2.