本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# MSK Connect 的 IAM 角色和策略
本部分帮助您设置相应的 IAM 策略和角色,以便在您的 AWS 环境中安全地部署和管理 Amazon MSK Connect。以下部分介绍了必须与 MSK Connect 一起使用的服务执行角色,包括连接至经 IAM 身份验证的 MSK 集群时所需的信任策略和额外权限。该页面还提供了授予对 MSK Connect 功能完全访问权限的全面 IAM 策略的示例,以及该服务可用的 AWS 托管策略的详细信息。
**Topics**
+ [了解服务执行角色](msk-connect-service-execution-role.md)
+ [MSK Connect 的 IAM 策略示例](mkc-iam-policy-examples.md)
+ [防范跨服务混淆代理问题](cross-service-confused-deputy-prevention.md)
+ [AWS MSK Connect 的托管策略](mkc-security-iam-awsmanpol.md)
+ [使用 MSK Connect 的服务相关角色](mkc-using-service-linked-roles.md)
# 了解服务执行角色
**注意**
Amazon MSK Connect 不支持使用[服务相关角色](mkc-using-service-linked-roles.md)作为服务执行角色。您必须创建单独的服务执行角色。有关如何创建自定义 IAM 角色的说明,请参阅 I [A *M 用户指南*中的创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
在使用 MSK Connect 创建连接器时,您需要指定要与之配合使用的 AWS Identity and Access Management (IAM) 角色。您的服务执行角色必须具有以下信任策略,以便 MSK Connect 可以代入该角色。有关此策略中条件上下文键的说明,请参阅 [防范跨服务混淆代理问题](cross-service-confused-deputy-prevention.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "kafkaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:kafkaconnect:us-east-1:123456789012:connector/myConnector/abc12345-abcd-4444-a8b9-123456f513ed-2"
}
}
}
]
}
```
------
如果您想要与连接器一起使用的 Amazon MSK 集群使用 IAM 身份验证,则必须向连接器的服务执行角色添加以下权限策略。有关如何查找集群的 UUID 以及如何构造主题的信息 ARNs,请参阅[授权策略资源](kafka-actions.md#msk-iam-resources)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka-cluster:Connect",
"kafka-cluster:DescribeCluster"
],
"Resource": [
"arn:aws:kafka:us-east-1:000000000001:cluster/testClusterName/300d0000-0000-0005-000f-00000000000b-1"
]
},
{
"Effect": "Allow",
"Action": [
"kafka-cluster:ReadData",
"kafka-cluster:DescribeTopic"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:topic/myCluster/300a0000-0000-0003-000a-00000000000b-6/__amazon_msk_connect_read"
]
},
{
"Effect": "Allow",
"Action": [
"kafka-cluster:WriteData",
"kafka-cluster:DescribeTopic"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:topic/testCluster/300f0000-0000-0008-000d-00000000000m-7/__amazon_msk_connect_write"
]
},
{
"Effect": "Allow",
"Action": [
"kafka-cluster:CreateTopic",
"kafka-cluster:WriteData",
"kafka-cluster:ReadData",
"kafka-cluster:DescribeTopic"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:topic/testCluster/300f0000-0000-0008-000d-00000000000m-7/__amazon_msk_connect_*"
]
},
{
"Effect": "Allow",
"Action": [
"kafka-cluster:AlterGroup",
"kafka-cluster:DescribeGroup"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:group/testCluster/300d0000-0000-0005-000f-00000000000b-1/__amazon_msk_connect_*",
"arn:aws:kafka:us-east-1:123456789012:group/testCluster/300d0000-0000-0005-000f-00000000000b-1/connect-*"
]
}
]
}
```
------
根据连接器的类型,您可能还需要为服务执行角色附加允许其访问 AWS 资源的权限策略。例如,如果您的连接器需要向 S3 存储桶发送数据,则服务执行角色必须具有授予写入该存储桶之权限的权限策略。出于测试目的,您可以使用其中一个预构建 IAM policy 来授予完全访问权限,例如 `arn:aws:iam::aws:policy/AmazonS3FullAccess`。但是,出于安全考虑,我们建议您使用最严格的策略,允许您的连接器从 AWS 源读取数据或写入 AWS 接收器。
# MSK Connect 的 IAM 策略示例
要向非管理员用户授予对所有 MSK Connect 功能的完全访问权限,请将如下策略附加到该用户的 IAM 角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MSKConnectFullAccess",
"Effect": "Allow",
"Action": [
"kafkaconnect:CreateConnector",
"kafkaconnect:DeleteConnector",
"kafkaconnect:DescribeConnector",
"kafkaconnect:ListConnectors",
"kafkaconnect:UpdateConnector",
"kafkaconnect:CreateCustomPlugin",
"kafkaconnect:DeleteCustomPlugin",
"kafkaconnect:DescribeCustomPlugin",
"kafkaconnect:ListCustomPlugins",
"kafkaconnect:CreateWorkerConfiguration",
"kafkaconnect:DeleteWorkerConfiguration",
"kafkaconnect:DescribeWorkerConfiguration",
"kafkaconnect:ListWorkerConfigurations"
],
"Resource": "*"
},
{
"Sid": "IAMPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/MSKConnectServiceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "kafkaconnect.amazonaws.com"
}
}
},
{
"Sid": "EC2NetworkAccess",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "MSKClusterAccess",
"Effect": "Allow",
"Action": [
"kafka:DescribeCluster",
"kafka:DescribeClusterV2",
"kafka:GetBootstrapBrokers"
],
"Resource": "arn:aws:kafka:us-east-1:123456789012:cluster/myCluster/"
},
{
"Sid": "MSKLogGroupAccess",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:log-group:/aws/msk-connect/*"
]
},
{
"Sid": "S3PluginAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1-custom-plugins",
"arn:aws:s3:::amzn-s3-demo-bucket1-custom-plugins/*"
]
}
]
}
```
------
# 防范跨服务混淆代理问题
混淆代理问题是一个安全性问题,即不具有某操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。一个服务(*呼叫服务*)调用另一项服务(*所谓的服务*)时,可能会发生跨服务模拟。可以操纵调用服务,使用其权限以在其他情况下该服务不应有访问权限的方式对另一个客户的资源进行操作。为防止这种情况, AWS 提供可帮助您保护所有服务的数据的工具,而这些服务中的服务主体有权限访问账户中的资源。
我们建议在资源策略中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全局条件上下文键,以限制 MSK Connect 为其他服务提供的资源访问权限。如果 `aws:SourceArn` 值不包含账户 ID,例如 Amazon S3 存储桶 ARN 不包含账户 ID,您必须使用两个全局条件上下文键来限制权限。如果同时使用全局条件上下文密钥和包含账户 ID 的 `aws:SourceArn` 值,则 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户在同一策略语句中使用时,必须使用相同的账户 ID。如果您只希望将一个资源与跨服务访问相关联,请使用 `aws:SourceArn`。如果您想允许该账户中的任何资源与跨服务使用操作相关联,请使用。`aws:SourceAccount`
对于 MSK Connect,`aws:SourceArn` 的值必须是 MSK 连接器。
防范混淆代理问题最有效的方法是使用 `aws:SourceArn` 全局条件上下文键和资源的完整 ARN。如果不知道资源的完整 ARN,或者正在指定多个资源,请针对 ARN 未知部分使用带有通配符(`*`)的 `aws:SourceArn` 全局上下文条件键。例如,*arn:aws:kafkaconnect:us-east-1:123456789012:connector/\$1*表示属于美国东部(弗吉尼亚北部)区域中编号为 123456789012 的账户的所有连接器。
以下示例演示了如何使用 MSK Connect 中的 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键来防范混淆代理问题。用你的*123456789012*和连接器信息替换并 arn: aws: kafkaconnect::: connector/ *us-east-1*。*123456789012* *my-S3-Sink-Connector* *abcd1234-5678-90ab-cdef-1234567890ab* AWS 账户
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": " kafkaconnect.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:kafkaconnect:us-east-1:123456789012:connector/my-S3-Sink-Connector/abcd1234-5678-90ab-cdef-1234567890ab"
}
}
}
]
}
```
------
# AWS MSK Connect 的托管策略
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略:Amazon MSKConnect ReadOnlyAccess
此策略向用户授予列出和描述 MSK Connect 资源所需的权限。
您可以将 `AmazonMSKConnectReadOnlyAccess` 策略附加到 IAM 身份。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafkaconnect:ListConnectors",
"kafkaconnect:ListCustomPlugins",
"kafkaconnect:ListWorkerConfigurations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kafkaconnect:DescribeConnector"
],
"Resource": [
"arn:aws:kafkaconnect:*:*:connector/*"
]
},
{
"Effect": "Allow",
"Action": [
"kafkaconnect:DescribeCustomPlugin"
],
"Resource": [
"arn:aws:kafkaconnect:*:*:custom-plugin/*"
]
},
{
"Effect": "Allow",
"Action": [
"kafkaconnect:DescribeWorkerConfiguration"
],
"Resource": [
"arn:aws:kafkaconnect:*:*:worker-configuration/*"
]
}
]
}
```
------
## AWS 托管策略: KafkaConnectServiceRolePolicy
此策略向 MSK Connect 服务授予创建和管理带有 `AmazonMSKConnectManaged:true` 标签的网络接口所需的权限。这些网络接口允许 MSK Connect 通过网络访问 Amazon VPC 中的资源,例如 Apache Kafka 集群、源或接收器。
您无法附加 KafkaConnectServiceRolePolicy 到您的 IAM 实体。此策略附加到服务相关角色,允许 MSK Connect 代表您执行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/AmazonMSKConnectManaged": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonMSKConnectManaged"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:AttachNetworkInterface",
"ec2:DetachNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMSKConnectManaged": "true"
}
}
}
]
}
```
------
## MSK Connect 对 AWS 托管策略的更新
查看自该服务开始跟踪这些更改以来,MSK Connect AWS 托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| MSK Connect 更新了只读策略 | MSK Connect 更新了亚马逊MSKConnectReadOnlyAccess 政策,取消了对上架操作的限制。 | 2021 年 10 月 13 日 |
| MSK Connect 开启了跟踪更改 | MSK Connect 开始跟踪其 AWS 托管策略的更改。 | 2021 年 9 月 14 日 |
# 使用 MSK Connect 的服务相关角色
Amazon MSK Connect 使用 AWS Identity and Access Management (IAM) [服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。服务相关角色是一种独特类型的 IAM 角色,它直接链接到 MSK Connect。服务相关角色由 MSK Connect 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可让您更轻松地设置 MSK Connect,因为您不必手动添加所需权限。MSK Connect 定义其服务相关角色的权限,除非另外定义,否则只有 MSK Connect 可以代入其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## MSK Connect 的服务相关角色权限
MSK Connect 使用名为 **AWSServiceRoleForKafkaConnect**— 允许亚马逊 MSK Connect 代表您访问亚马逊资源的服务相关角色。
AWSServiceRoleForKafkaConnect 服务相关角色信任`kafkaconnect.amazonaws.com`服务来代替该角色。
有关该角色使用的权限策略的信息,请参阅 [AWS 托管策略: KafkaConnectServiceRolePolicy](mkc-security-iam-awsmanpol.md#security-iam-awsmanpol-KafkaConnectServiceRolePolicy)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 MSK Connect 的服务相关角色
您无需手动创建服务关联角色。当您在 AWS 管理控制台、或 AWS API 中创建连接器时 AWS CLI,MSK Connect 会为您创建服务相关角色。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建连接器时,MSK Connect 将再次为您创建服务相关角色。
## 编辑 MSK Connect 的服务相关角色
MSK Connect 不允许您编辑 AWSServiceRoleForKafkaConnect 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 MSK Connect 的服务相关角色
您可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为执行此操作,您必须先手动删除所有 MSK Connect 连接器,然后才能手动删除该角色。有关更多信息,请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## MSK Connect 服务相关角色的受支持区域
MSK Connect 支持在该服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。