Permissões necessárias do IAM para criar um Replicador do MSK

O principal (usuário ou função) do IAM que chama CreateReplicator precisa das permissões descritas nesta seção. Anexe essa política à identidade do IAM que corresponde ao seu cliente. Para obter orientações gerais sobre a criação de políticas de autorização, consulte Criar políticas de autorização.

Comece com a política básica abaixo. Se você também configurar a entrega de registros, anexe o trecho para cada destino usado (consulte). Permissões adicionais para entrega de registros Para cenários de migração autogerenciada do Apache Kafka, consulte orientações adicionais sobre a função de execução de serviços em. Migre de clusters Apache Kafka que não sejam da MSK para agentes do Amazon MSK Express

Política básica do IAM

Substitua os espaços reservados pelo ID da sua conta Região da AWS, nome da função de execução do serviço e ARNs do cluster de origem e destino. A ação só kafka:TagResource é necessária se você fornecer tags durante a criação.


{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "MSKReplicatorIAMPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::<accountID>:role/<serviceExecutionRoleName>",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "kafka.amazonaws.com"
                }
            }
        },
        {
            "Sid": "MSKReplicatorServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*"
        },
        {
            "Sid": "MSKReplicatorActions",
            "Effect": "Allow",
            "Action": [
                "kafka:CreateReplicator",
                "kafka:DescribeReplicator",
                "kafka:DeleteReplicator",
                "kafka:ListReplicators",
                "kafka:ListTagsForResource",
                "kafka:UpdateReplicationInfo",
                "kafka:TagResource"
            ],
            "Resource": [
                "arn:aws:kafka:<region>:<accountID>:replicator/*"
            ]
        },
        {
            "Sid": "MSKReplicatorListActions",
            "Effect": "Allow",
            "Action": [
                "kafka:ListReplicators"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EC2Actions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "MSKClusterActions",
            "Effect": "Allow",
            "Action": [
                "kafka:GetBootstrapBrokers",
                "kafka:DescribeClusterV2"
            ],
            "Resource": [
                "<sourceClusterArn>",
                "<targetClusterArn>"
            ]
        }
    ]
}

nota

As ec2:DescribeVpcs açõesec2:DescribeSubnets,ec2:DescribeSecurityGroups, e não oferecem suporte a permissões em nível de recurso, portanto, você deve especificar. "Resource": "*" Veja as ações, os recursos e as chaves de condição para a referência do Amazon EC2.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criptografia

Permissões de entrega de registros