Berechtigungen für private Multi-VPC-Konnektivität - Amazon Managed Streaming für Apache Kafka

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für private Multi-VPC-Konnektivität

In diesem Abschnitt werden die Berechtigungen zusammengefasst, die für Clients und Cluster erforderlich sind, die die private Multi-VPC-Konnektivitäts-Feature verwenden. Private Multi-VPC-Konnektivität erfordert, dass der Client-Administrator für jeden Client, der über eine verwaltete VPC-Verbindung zum MSK-Cluster verfügt, Berechtigungen erstellt. Außerdem muss der Besitzer des MSK-Clusters die PrivateLink Konnektivität auf dem MSK-Cluster aktivieren und Authentifizierungsschema zur Steuerung des Zugriffs auf den Cluster auswählen.

Cluster-Authentifizierungstyp und Zugriffsberechtigungen für Themen

Aktivieren Sie die private Multi-VPC-Konnektivitäts-Feature für Authentifizierungsschemas, die für Ihren MSK-Cluster aktiviert sind. Siehe Anforderungen und Einschränkungen für private Multi-VPC-Konnektivität. Wenn Sie Ihren MSK-Cluster für die Verwendung des SASL/SCRAM-Authentifizierungsschemas konfigurieren, ist die Apache-Kafka-Eigenschaft obligatorisch. ACLs allow.everyone.if.no.acl.found=false Nachdem Sie die Apache Kafka ACLs für Ihren Cluster festgelegt haben, aktualisieren Sie die Cluster-Konfiguration, sodass die Eigenschaft allow.everyone.if.no.acl.found für den Cluster auf Falsch gesetzt wird. Weitere Informationen zum Aktualisieren der Konfiguration eines Clusters finden Sie unter Operationen zur Broker-Konfiguration.

Kontoübergreifende Cluster-Richtlinienberechtigungen

Wenn sich ein Kafka-Client in einem anderen AWS -Konto als dem MSK-Cluster befindet, fügen Sie dem MSK-Cluster eine clusterbasierte Richtlinie hinzu, die den Root-Benutzer des Clients für kontenübergreifende Konnektivität autorisiert. Sie können die Multi-VPC-Cluster-Richtlinie mit dem IAM-Richtlinien-Editor in der MSK-Konsole bearbeiten (Cluster Sicherheitseinstellungen > Cluster-Richtlinie bearbeiten) oder die folgende Methode verwenden, um die Cluster-Richtlinie APIs zu verwalten:

PutClusterPolicy

Hängt eine Cluster-Richtlinie an den MSK-Cluster an. Sie können diese API verwenden, um die angegebene MSK-Cluster-Richtlinie zu erstellen oder zu aktualisieren. Wenn Sie die Richtlinie aktualisieren, ist das Feld currentVersion in der Nutzlast der Anfrage erforderlich.

GetClusterPolicy

Ruft den JSON-Text des Cluster-Richtliniendokuments ab, das an den Cluster angehängt ist.

DeleteClusterPolicy

Löscht die Cluster-Richtlinie.

Als Referenz finden Sie im Folgenden ein JSON-Beispiel für eine grundlegende Cluster-Richtlinie, ähnlich der, die im IAM-Richtlinien-Editor der MSK-Konsole angezeigt wird. Die folgende Richtlinie erteilt Berechtigungen für Zugriff auf Cluster-, Themen- und Gruppenebene.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "kafka-cluster:*", "kafka:CreateVpcConnection", "kafka:GetBootstrapBrokers", "kafka:DescribeCluster", "kafka:DescribeClusterV2" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2", "arn:aws:kafka:us-east-1:123456789012:topic/testing/*", "arn:aws:kafka:us-east-1:123456789012:group/testing/*" ] }] }
Client-Berechtigungen für private Multi-VPC-Konnektivität zu einem MSK-Cluster

Um private Multi-VPC-Konnektivität zwischen einem Kafka-Client und einem MSK-Cluster einzurichten, benötigt der Client eine angehängte Identitätsrichtlinie, die Berechtigungen für die Aktionen kafka:CreateVpcConnection, ec2:CreateTags und ec2:CreateVPCEndpoint für den Client gewährt. Zum Nachschlagen finden Sie nachstehend ein JSON-Beispiel für eine grundlegende Client-Identitätsrichtlinie.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateVpcConnection", "ec2:CreateTags", "ec2:CreateVPCEndpoint" ], "Resource": "*" } ] }