View a markdown version of this page

Permissões de SER adicionais SASL/SCRAM e chaves gerenciadas pelo cliente - Amazon Managed Streaming for Apache Kafka

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões de SER adicionais SASL/SCRAM e chaves gerenciadas pelo cliente

A política AWSMSKReplicatorExecutionRole gerenciada abrange permissões de cluster, tópico e grupo de consumidores para autenticação do IAM. Quando você replica de ou para um cluster que usa SASL/SCRAM autenticação (por exemplo, ao migrar de um cluster autogerenciado do Apache Kafka) ou quando seu certificado de CA privado ou secreto do SCRAM é criptografado com uma chave gerenciada pelo cliente (CMK), você precisa anexar permissões embutidas adicionais à função de execução do serviço.

Use os trechos abaixo, além da política gerenciada. Escolha o cenário que corresponde à sua configuração.

SASL/SCRAM segredo (com ou sem segredo de CA raiz TLS)

Concede ao SER permissão para ler as credenciais do SCRAM e (opcionalmente) o certificado CA privado de. AWS Secrets Manager<saslSecretArn>Substitua pelo ARN secreto do SCRAM <privateCaCertSecretArn> e pelo segredo que contém o certificado CA (omita o segundo ARN se você usar um certificado publicamente confiável).

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        }
    ]
}
Segredo SCRAM ou certificado CA criptografado com uma chave gerenciada pelo cliente

Se o segredo ou certificado estiver criptografado com uma CMK em vez da chave AWS gerenciada, conceda também kms:Decrypt na CMK. <customerManagedKeyArn>Substitua pelo ARN da CMK.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": [
                "<saslSecretArn>",
                "<privateCaCertSecretArn>"
            ]
        },
        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": [
                "<customerManagedKeyArn>"
            ]
        }
    ]
}
nota

Se você preferir um escopo mais amplo, consistente com as permissões do provedor de configuração do MSK Connect, você pode usar arn:aws:secretsmanager:<region>:<accountID>:secret:AmazonMSK_* como padrão de recursos em vez de ARNs secretos individuais.