Autorizzazioni di base Autorizzazioni di accesso al cluster Autorizzazioni VPC Autorizzazioni facoltative

Configurazione delle autorizzazioni del ruolo di esecuzione Lambda

Per accedere al cluster Amazon MSK, la mappatura delle funzioni e delle sorgenti degli eventi necessita delle autorizzazioni per eseguire varie azioni dell'API Amazon MSK. Aggiungi queste autorizzazioni al ruolo di esecuzione della funzione. Se gli utenti devono accedere, aggiungi le autorizzazioni richieste alla politica di identità per l'utente o il ruolo.

Per coprire tutte le autorizzazioni richieste, puoi allegare la politica di gestione dei ruoli al tuo AWSLambdaMSKExecutionruolo di esecuzione. In alternativa, puoi aggiungere ogni autorizzazione manualmente.

Autorizzazioni di base

Il ruolo di esecuzione della funzione Lambda deve disporre delle seguenti autorizzazioni richieste per creare e archiviare i log in Logs. CloudWatch

Autorizzazioni di accesso al cluster

Affinché Lambda possa accedere al cluster Amazon MSK per tuo conto, la funzione Lambda deve disporre delle seguenti autorizzazioni per il ruolo di esecuzione:

kafka: DescribeCluster
kafka: V2 DescribeCluster
kafka: GetBootstrapBrokers
kafka:DescribeVpcConnection: Richiesto solo per le mappature delle sorgenti degli eventi tra account.
kafka:ListVpcConnections: Non richiesto nel ruolo di esecuzione, ma richiesto per un principal IAM che sta creando una mappatura delle sorgenti degli eventi tra account.

Devi solo aggiungere uno dei seguenti formati: kafka: o kafka: V2. DescribeCluster DescribeCluster Per i cluster Amazon MSK forniti, entrambe le autorizzazioni funzionano. Per i cluster Amazon MSK serverless, devi usare kafka: V2. DescribeCluster

Nota

Lambda alla fine prevede di rimuovere l'DescribeClusterautorizzazione kafka: dalla politica gestita dai AWSLambda MSKExecution ruoli. Se usi questa policy, migra tutte le applicazioni che utilizzano kafka: DescribeCluster per usare invece kafka: V2. DescribeCluster

Autorizzazioni VPC

Se il cluster Amazon MSK si trova in una sottorete privata del VPC, la funzione Lambda deve disporre di autorizzazioni aggiuntive per accedere alle risorse Amazon VPC. Questi includono VPC, sottoreti, gruppi di sicurezza e interfacce di rete. Il ruolo di esecuzione della funzione deve disporre delle seguenti autorizzazioni:

Autorizzazioni facoltative

La funzione Lambda potrebbe richiedere autorizzazioni per:

Accedi al tuo segreto SCRAM, se utilizzi l'autenticazione SASL/SCRAM. Ciò consente alla funzione di utilizzare un nome utente e una password per connettersi a Kafka.
Descrivi il tuo segreto di Secrets Manager, se utilizzi l' SASL/SCRAM autenticazione MTLS. Ciò consente alla funzione di recuperare le credenziali o i certificati necessari per connessioni sicure.
Accedi alla tua chiave AWS KMS gestita dal cliente, se desideri crittografare i criteri di filtro. Questo aiuta a mantenere segrete le regole di filtraggio dei messaggi.
Accedi ai segreti del registro degli schemi, se utilizzi un registro degli schemi con autenticazione:
- Per il registro AWS Glue degli schemi: le esigenze glue:GetRegistry e le glue:GetSchemaVersion autorizzazioni della funzione. Questi consentono alla funzione di cercare e utilizzare le regole di formato dei messaggi memorizzate in AWS Glue.
- Per Confluent Schema Registry con BASIC_AUTH oCLIENT_CERTIFICATE_TLS_AUTH: La tua funzione richiede l'secretsmanager:GetSecretValueautorizzazione per il segreto contenente le credenziali di autenticazione. Ciò consente alla funzione di recuperare i certificati username/password o necessari per accedere al Confluent Schema Registry.
- Per i certificati CA privati: la tua funzione richiede secretsmanager: GetSecretValue autorizzazione per il segreto contenente il certificato. Ciò consente alla funzione di verificare l'identità dei registri dello schema che utilizzano certificati personalizzati.

Queste corrispondono alle seguenti autorizzazioni richieste:

kafka: ListScramSecrets - Consente l'elenco dei segreti SCRAM per l'autenticazione Kafka
secretsmanager: GetSecretValue - Consente il recupero di segreti da Secrets Manager
KMS:Decrypt - Consente la decrittografia dei dati crittografati utilizzando AWS KMS
glue: - Consente l'accesso al registro degli schemi GetRegistry AWS Glue
glue: GetSchemaVersion - Consente il recupero di versioni specifiche dello schema dal AWS Glue registro degli schemi

Inoltre, se desideri inviare i record delle chiamate non riuscite a una destinazione in caso di errore, avrai bisogno delle seguenti autorizzazioni a seconda del tipo di destinazione:

Per le destinazioni Amazon SQS: sqs: SendMessage - Consente l'invio di messaggi a una coda Amazon SQS
Per le destinazioni Amazon SNS: SNS:Publish - Consente la pubblicazione di messaggi su un argomento Amazon SNS
Per le destinazioni dei bucket Amazon S3:: PutObject e s3: ListBucket - Abilita la scrittura e l'elenco di oggetti in un bucket Amazon S3

Per la risoluzione degli errori di autenticazione e autorizzazione, consulta. Risoluzione degli errori di mappatura delle sorgenti degli eventi Kafka

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione del cluster e della rete

Configurare un'origine eventi