View a markdown version of this page

Autorizzazioni SER aggiuntive e chiavi gestite dal cliente SASL/SCRAM - Amazon Managed Streaming per Apache Kafka

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni SER aggiuntive e chiavi gestite dal cliente SASL/SCRAM

La policy AWSMSKReplicatorExecutionRole gestita copre le autorizzazioni di cluster, argomenti e gruppi di consumatori per l'autenticazione IAM. Quando si esegue la replica da o verso un cluster che utilizza SASL/SCRAM l'autenticazione (ad esempio, durante la migrazione da un cluster Apache Kafka autogestito) o quando il certificato CA privato o segreto SCRAM è crittografato con una chiave gestita dal cliente (CMK), è necessario assegnare ulteriori autorizzazioni in linea al ruolo di esecuzione del servizio.

Utilizza gli snippet riportati di seguito oltre alla policy gestita. Scegli lo scenario che corrisponde alla tua configurazione.

SASL/SCRAM segreto (con o senza segreto TLS root CA)

Concede al SER l'autorizzazione a leggere le credenziali SCRAM e (facoltativamente) il certificato CA privato da. Gestione dei segreti AWS Sostituiscilo <saslSecretArn> con il tuo ARN segreto SCRAM <privateCaCertSecretArn> e con il segreto contenente il certificato CA (ometti il secondo ARN se usi un certificato pubblicamente affidabile).

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
Certificato segreto SCRAM o CA crittografato con una chiave gestita dal cliente

Se il segreto o il certificato è crittografato con una CMK anziché con la chiave AWS gestita, kms:Decrypt concedi anche la CMK. Sostituire <customerManagedKeyArn> con CMK ARN.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}
Nota

Se si preferisce un ambito più ampio coerente con le autorizzazioni del provider di configurazione MSK Connect, è possibile utilizzare arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_* come modello di risorsa anziché singoli ARN segreti.