기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
MSK Replicator를 생성하는 데 필요한 IAM 권한
를 호출하는 IAM 보안 주체(사용자 또는 역할)에는이 섹션에 설명된 권한이 CreateReplicator 필요합니다. 클라이언트에 해당하는 IAM 자격 증명에이 정책을 연결합니다. 권한 부여 정책 생성에 대한 일반적인 지침은 권한 부여 정책 생성을 참조하세요.
아래 기본 정책으로 시작합니다. 로그 전송도 구성하는 경우 사용하는 각 대상에 대해 코드 조각을 추가합니다( 참조로그 전송을 위한 추가 권한). 자체 관리형 Apache Kafka 마이그레이션 시나리오는의 추가 서비스 실행 역할 지침을 참조하세요비 MSK Apache Kafka 클러스터에서 Amazon MSK Express 브로커로 마이그레이션.
기본 IAM 정책
자리 표시자를 계정 ID, AWS 리전서비스 실행 역할 이름, 소스 및 대상 클러스터 ARNs. 작업은 생성 중에 태그를 제공하는 kafka:TagResource 경우에만 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "MSKReplicatorIAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::<accountID>:role/<serviceExecutionRoleName>", "Condition": { "StringEquals": { "iam:PassedToService": "kafka.amazonaws.com" } } }, { "Sid": "MSKReplicatorServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Sid": "MSKReplicatorActions", "Effect": "Allow", "Action": [ "kafka:CreateReplicator", "kafka:DescribeReplicator", "kafka:DeleteReplicator", "kafka:ListReplicators", "kafka:ListTagsForResource", "kafka:UpdateReplicationInfo", "kafka:TagResource" ], "Resource": [ "arn:aws:kafka:<region>:<accountID>:replicator/*" ] }, { "Sid": "MSKReplicatorListActions", "Effect": "Allow", "Action": [ "kafka:ListReplicators" ], "Resource": [ "*" ] }, { "Sid": "EC2Actions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs" ], "Resource": [ "*" ] }, { "Sid": "MSKClusterActions", "Effect": "Allow", "Action": [ "kafka:GetBootstrapBrokers", "kafka:DescribeClusterV2" ], "Resource": [ "<sourceClusterArn>", "<targetClusterArn>" ] } ] }
참고
ec2:DescribeSubnets, ec2:DescribeSecurityGroups및 ec2:DescribeVpcs 작업은 리소스 수준 권한을 지원하지 않으므로를 지정해야 합니다"Resource": "*". Amazon EC2 참조는 작업, 리소스 및 조건 키를 참조하세요.
