Mengonfigurasi izin Lambda untuk pemetaan sumber acara MSK Amazon

Untuk mengakses kluster MSK Amazon, fungsi dan pemetaan sumber peristiwa Anda memerlukan izin untuk melakukan berbagai tindakan Amazon MSK API. Tambahkan izin ini ke peran eksekusi fungsi. Jika pengguna Anda memerlukan akses, tambahkan izin yang diperlukan ke kebijakan identitas untuk pengguna atau peran.

Kebijakan yang dikelola AWSLambdaMSKExecutionPeran berisi izin minimum yang diperlukan untuk pemetaan sumber peristiwa MSK Lambda Amazon. Untuk menyederhanakan proses izin, Anda dapat:

Lampirkan kebijakan yang dikelola AWSLambdaMSKExecutionPeran ke peran eksekusi Anda.
Biarkan konsol Lambda menghasilkan izin untuk Anda. Saat Anda membuat pemetaan sumber peristiwa MSK Amazon di konsol, Lambda mengevaluasi peran eksekusi Anda dan memberi tahu Anda jika ada izin yang hilang. Pilih Hasilkan izin untuk memperbarui peran eksekusi Anda secara otomatis. Ini tidak berfungsi jika Anda membuat atau memodifikasi kebijakan peran eksekusi secara manual, atau jika kebijakan dilampirkan ke beberapa peran. Perhatikan bahwa izin tambahan mungkin masih diperlukan dalam peran eksekusi Anda saat menggunakan fitur lanjutan seperti On-Failure Destination atau AWS Glue Schema Registry.

Izin yang diperlukan

Peran eksekusi fungsi Lambda Anda harus memiliki izin yang diperlukan berikut untuk pemetaan sumber peristiwa MSK Amazon. Izin ini disertakan dalam kebijakan yang dikelola AWSLambdaMSKExecutionPeran.

CloudWatch Izin log

Izin berikut memungkinkan Lambda untuk membuat dan menyimpan log di Amazon CloudWatch Logs.

Izin klaster MSK

Izin berikut memungkinkan Lambda mengakses klaster MSK Amazon Anda atas nama Anda:

Kami merekomendasikan menggunakan kafka: DescribeCluster V2 alih-alih kafka:. DescribeCluster Izin v2 berfungsi dengan kluster MSK Amazon yang disediakan dan tanpa server. Anda hanya memerlukan salah satu izin ini dalam kebijakan Anda.

Izin VPC

Izin berikut memungkinkan Lambda membuat dan mengelola antarmuka jaringan saat menghubungkan ke kluster MSK Amazon Anda:

Izin opsional

Fungsi Lambda Anda mungkin juga memerlukan izin untuk:

Akses kluster MSK Amazon lintas akun. Untuk pemetaan sumber peristiwa lintas akun, Anda memerlukan kafka: DescribeVpcConnection dalam peran eksekusi. Prinsipal IAM yang membuat pemetaan sumber peristiwa lintas akun membutuhkan kafka:. ListVpcConnections
Akses rahasia SCRAM Anda, jika Anda menggunakan otentikasi SASL/SCRAM. Ini memungkinkan fungsi Anda menggunakan nama pengguna dan kata sandi untuk terhubung ke Kafka.
Jelaskan rahasia Secrets Manager Anda, jika Anda menggunakan SASL/SCRAM atau otentikasi mTLS. Ini memungkinkan fungsi Anda untuk mengambil kredensyal atau sertifikat yang diperlukan untuk koneksi aman.
Akses kunci terkelola AWS KMS pelanggan Anda, jika AWS Secrets Manager rahasia Anda dienkripsi dengan kunci yang dikelola AWS KMS pelanggan.
Akses rahasia registri skema Anda, jika Anda menggunakan registri skema dengan otentikasi:
- Untuk Registri AWS Glue Skema: Kebutuhan glue:GetRegistry dan glue:GetSchemaVersion izin fungsi Anda. Ini memungkinkan fungsi Anda untuk mencari dan menggunakan aturan format pesan yang disimpan AWS Glue.
- Untuk Registri Skema Konfluen dengan BASIC_AUTH atauCLIENT_CERTIFICATE_TLS_AUTH: Fungsi Anda memerlukan secretsmanager:GetSecretValue izin untuk rahasia yang berisi kredensi otentikasi. Ini memungkinkan fungsi Anda mengambil username/password atau sertifikat yang diperlukan untuk mengakses Registri Skema Konfluen.
- Untuk sertifikat CA pribadi: Fungsi Anda membutuhkan secretsmanager: GetSecretValue izin untuk rahasia yang berisi sertifikat. Hal ini memungkinkan fungsi Anda untuk memverifikasi identitas pendaftar skema yang menggunakan sertifikat kustom.
Akses grup konsumen klaster Kafka dan pesan polling dari topik, jika Anda menggunakan autentikasi IAM untuk pemetaan sumber peristiwa.

Ini sesuai dengan izin yang diperlukan berikut:

kafka: ListScramSecrets - Memungkinkan daftar rahasia SCRAM untuk otentikasi Kafka
secretsmanager: GetSecretValue - Memungkinkan pengambilan rahasia dari Secrets Manager
KMS: Decrypt - Memungkinkan dekripsi data terenkripsi menggunakan AWS KMS
lem: GetRegistry - Memungkinkan akses ke AWS Glue Schema Registry
lem: GetSchemaVersion - Memungkinkan pengambilan versi skema tertentu dari Schema Registry AWS Glue
Kafka-cluster:Connect - Memberikan izin untuk menghubungkan dan mengautentikasi ke cluster
kafka-cluster: AlterGroup - Memberikan izin untuk bergabung dengan grup di cluster, setara dengan READ GROUP ACL Apache Kafka
kafka-cluster: DescribeGroup - Memberikan izin untuk mendeskripsikan grup di cluster, setara dengan APache Kafka's DESCRIPTION GROUP ACL
kafka-cluster: DescribeTopic - Memberikan izin untuk mendeskripsikan topik di cluster, setara dengan APache Kafka's DESCRIPTE TOPIC ACL
kafka-cluster: ReadData - Memberikan izin untuk membaca data dari topik di cluster, setara dengan ACL TOPIK BACA Apache Kafka

Selain itu, jika Anda ingin mengirim catatan pemanggilan yang gagal ke tujuan yang gagal, Anda memerlukan izin berikut tergantung pada jenis tujuan:

Untuk tujuan Amazon SQS: sqs: SendMessage - Memungkinkan pengiriman pesan ke antrian Amazon SQS
Untuk tujuan Amazon SNS: SNS: Publikasikan - Izinkan penerbitan pesan ke topik Amazon SNS
Untuk tujuan bucket Amazon S3: s3: PutObject dan s3: ListBucket - Mengaktifkan penulisan dan daftar objek dalam bucket Amazon S3

Untuk mengatasi masalah kesalahan autentikasi dan otorisasi, lihat. Memecahkan masalah kesalahan pemetaan sumber acara Kafka

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pengaturan cluster dan jaringan

Konfigurasikan sumber acara