기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SASL/SCRAM 및 고객 관리형 키에 대한 추가 SER 권한
AWSMSKReplicatorExecutionRole 관리형 정책은 IAM 인증에 대한 클러스터, 주제 및 소비자 그룹 권한을 다룹니다. SASL/SCRAM 인증을 사용하는 클러스터에서 복제하거나(예: 자체 관리형 Apache Kafka 클러스터에서 마이그레이션하는 경우) SCRAM 보안 암호 또는 프라이빗 CA 인증서가 고객 관리형 키(CMK)로 암호화된 경우 서비스 실행 역할에 추가 인라인 권한을 연결해야 합니다.
관리형 정책 외에도 아래 코드 조각을 사용합니다. 설정과 일치하는 시나리오를 선택합니다.
SASL/SCRAM 보안 암호(TLS 루트 CA 보안 암호 포함 또는 미포함)
SER에 SCRAM 자격 증명을 읽고 (선택 사항으로) 프라이빗 CA 인증서를 읽을 수 있는 권한을 부여합니다 AWS Secrets Manager. <saslSecretArn>를 SCRAM 보안 암호 ARN으로 바꾸고를 CA 인증서를 보유한 보안 암호<privateCaCertSecretArn>로 바꿉니다(공개적으로 신뢰할 수 있는 인증서를 사용하는 경우 두 번째 ARN을 생략).
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "<saslSecretArn>", "<privateCaCertSecretArn>" ] } ] }
고객 관리형 키로 암호화된 SCRAM 보안 암호 또는 CA 인증서
보안 암호 또는 인증서가 AWS관리형 키가 아닌 CMK로 암호화된 경우 CMKkms:Decrypt에 도 부여합니다. 를 CMK ARN<customerManagedKeyArn>으로 바꿉니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": [ "<saslSecretArn>", "<privateCaCertSecretArn>" ] }, { "Sid": "KmsPermissions", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": [ "<customerManagedKeyArn>" ] } ] }
참고
MSK Connect 구성 공급자 권한에 따라 더 넓은 범위를 원하는 경우를 개별 보안 암호 ARN 대신 리소스 패턴arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_*으로 사용할 수 있습니다. ARNs
