本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 多 VPC 私有连接的权限 本节总结了使用多 VPC 私有连接功能的客户端和集群所需的权限。多 VPC 私有连接要求客户端管理员在将与 MSK 集群建立托管式 VPC 连接的每个客户端上创建权限。它还要求 MSK 集群管理员在 MSK 集群上启用 PrivateLink 连接,并选择身份验证方案来控制对集群的访问。 **集群身份验证类型和主题访问权限** 为针对您的 MSK 集群启用的身份验证方案开启多 VPC 私有连接功能。请参阅[多 VPC 私有连接的要求和限制](aws-access-mult-vpc.md#mvpc-requirements)。如果您要将 MSK 集群配置为使用 SASL/SCRAM 身份验证方案,那么 Apache Kafka ACLs 属性是必需的。`allow.everyone.if.no.acl.found=false`为集群设置 [阿帕奇 Kafka ACLs](msk-acls.md) 后,请更新集群的配置,将该集群的属性 `allow.everyone.if.no.acl.found` 设置为 false。有关如何更新集群配置的信息,请参阅[代理配置操作](msk-configuration-operations.md)。 **跨账户集群策略权限** 如果 Kafka 客户端所在的 AWS 账户与 MSK 集群不同,请将基于集群的策略附加到 MSK 集群,该策略授权客户端 root 用户进行跨账户连接。您可以使用 MSK 控制台中的 IAM 策略编辑器(集群**安全设置** > 编辑集群**策略)编辑多 VPC 集群策略**,也可以使用以下方法 APIs 来管理集群策略: **PutClusterPolicy** 将集群策略附加到集群。您可以使用此 API 来创建或更新指定的 MSK 集群策略。如果您要更新政策,则必须填写请求有效负载中的 currentVersion 字段。 **GetClusterPolicy** 检索附加到集群的集群策略文档的 JSON 文本。 **DeleteClusterPolicy** 删除集群策略。 以下是基本集群策略的 JSON 示例,类似于 MSK 控制台 IAM policy 编辑器中显示的策略。以下策略授予集群、主题和组级的访问权限。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "kafka-cluster:*", "kafka:CreateVpcConnection", "kafka:GetBootstrapBrokers", "kafka:DescribeCluster", "kafka:DescribeClusterV2" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2", "arn:aws:kafka:us-east-1:123456789012:topic/testing/*", "arn:aws:kafka:us-east-1:123456789012:group/testing/*" ] }] } ``` ------ **与 MSK 集群的多 VPC 私有连接的客户端权限** 要在 Kafka 客户端和 MSK 集群之间设置多 VPC 私有连接,客户端需要一个附加身份策略,以授予对客户端执行 `kafka:CreateVpcConnection`、`ec2:CreateTags` 和 `ec2:CreateVPCEndpoint` 操作的权限。以下是基本客户端身份策略的 JSON 示例,供您参考。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateVpcConnection", "ec2:CreateTags", "ec2:CreateVPCEndpoint" ], "Resource": "*" } ] } ``` ------