Configurazione delle autorizzazioni del ruolo di esecuzione Lambda - AWS Lambda
Autorizzazioni necessarie per la funzione LambdaAutorizzazioni facoltative per la funzione LambdaAggiunta di autorizzazioniAggiunta di utenti a una policy IAM

Configurazione delle autorizzazioni del ruolo di esecuzione Lambda

Oltre ad accedere al cluster Kafka autogestito, la funzione Lambda necessita di autorizzazioni per eseguire varie operazioni API. Aggiungere queste autorizzazioni al ruolo di esecuzione della funzione. Se gli utenti hanno bisogno di accedere a una qualsiasi delle operazioni dell'API, aggiungere le autorizzazioni richieste alla policy di identità per l'utente o il ruolo AWS Identity and Access Management (IAM).

Autorizzazioni necessarie per la funzione Lambda

Per creare e memorizzare log in un gruppo di log in Amazon CloudWatch Logs, la funzione Lambda deve disporre delle seguenti autorizzazioni nel suo ruolo di esecuzione:

Autorizzazioni facoltative per la funzione Lambda

La funzione Lambda potrebbe richiedere autorizzazioni per:

  • Descrivere il segreto di Secrets Manager.

  • Accedere alla chiave gestita dal cliente AWS Key Management Service (AWS KMS).

  • Accedere ad Amazon VPC.

  • Invia i record delle chiamate non riuscite a una destinazione.

Secrets Manager e autorizzazioni AWS KMS

A seconda del tipo di controllo di accesso configurato per i broker Kafka, la funzione Lambda potrebbe richiedere l'autorizzazione per accedere al segreto di Secrets Manager o per decrittare la chiave gestita dal cliente AWS KMS. Per accedere a queste risorse, il ruolo di esecuzione della funzione deve disporre delle seguenti autorizzazioni:

Autorizzazioni VPC

Se soltanto gli utenti all'interno di un VPC possono accedere al cluster Apache Kafka autogestito, la funzione Lambda deve disporre dell'autorizzazione per accedere alle risorse di Amazon VPC. Queste risorse includono la VPC, le sottoreti, i gruppi di sicurezza e le interfacce di rete. Per accedere a queste risorse, il ruolo di esecuzione della funzione deve disporre delle seguenti autorizzazioni:

Aggiunta di autorizzazioni al ruolo di esecuzione

Per accedere ad altri servizi AWS utilizzati dal cluster Apache Kafka autogestito, Lambda utilizza le policy di autorizzazione definite nel ruolo di esecuzione della funzione Lambda.

Per impostazione predefinita, Lambda non è autorizzato a eseguire le operazioni richieste o facoltative per un cluster Apache Kafka autogestito. Dovrai creare e definire queste operazioni in una policy di attendibilità IAM per il ruolo di esecuzione. Questo esempio mostra come creare una policy che consente a Lambda di accedere alle risorse Amazon VPC.

JSON
{
        "Version":"2012-10-17",		 	 	 
        "Statement":[
           {
              "Effect":"Allow",
              "Action":[
                 "ec2:CreateNetworkInterface",
                 "ec2:DescribeNetworkInterfaces",
                 "ec2:DescribeVpcs",
                 "ec2:DeleteNetworkInterface",
                 "ec2:DescribeSubnets",
                 "ec2:DescribeSecurityGroups"
              ],
              "Resource":"*"
           }
        ]
     }

Concessione di accesso agli utenti con una policy IAM

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per eseguire operazioni API di origine eventi. Per concedere l'accesso agli utenti dell'organizzazione o dell'account, è possibile creare o aggiornare una policy basata sull'identità. Per ulteriori informazioni, consultare Controllo dell'accesso alle risorse AWS tramite policy nella Guida per l'utente di IAM.

Per la risoluzione degli errori di autenticazione e autorizzazione, consulta. Risoluzione degli errori relativi allo strumento di mappatura dell'origine degli eventi di Apache Kafka autogestito