기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM 권한 부여 정책 작업 및 리소스의 의미
참고
Apache Kafka 버전 3.8 이상을 실행하는 클러스터의 경우 IAM 액세스 제어는 트랜잭션을 종료하기 위한 WriteTxnMarkers API를 지원합니다. 3.8 이전 버전의 Kafka를 실행하는 클러스터의 경우 IAM 액세스 제어는 WriteTxnMarkers를 포함한 내부 클러스터 작업을 지원하지 않습니다. 이러한 이전 버전의 경우 트랜잭션을 종료하려면 IAM 인증 대신 적절한 ACLs을 사용하여 SCRAM 또는 mTLS 인증을 사용합니다.
이 섹션에서는 IAM 권한 부여 정책에서 사용할 수 있는 작업 및 리소스 요소의 의미에 대해 설명합니다. 정책 예제는 IAM 역할에 대한 권한 부여 정책 생성을 참조하세요.
권한 부여 정책 작업
다음 표에는 Amazon MSK를 위한 IAM 액세스 제어를 사용할 때 권한 부여 정책에 포함할 수 있는 작업이 나열되어 있습니다. 권한 부여 정책에 표의 작업 열에 있는 작업을 포함할 때는 필수 작업 열에 있는 해당 작업도 포함해야 합니다.
| 작업 | 설명 | 필수 작업 | 필수 리소스 | 서버리스 클러스터에 적용 가능 |
|---|---|---|---|---|
kafka-cluster:Connect |
클러스터에 연결하고 인증할 수 있는 권한을 부여합니다. | 없음 | 클러스터 | 예 |
kafka-cluster:DescribeCluster |
클러스터의 다양한 측면을 설명할 수 있는 권한을 부여하며, 이는 Apache Kafka의 DESCRIBE CLUSTER ACL과 동일합니다. |
|
클러스터 | 예 |
kafka-cluster:AlterCluster |
클러스터의 다양한 측면을 변경할 수 있는 권한을 부여하며, 이는 Apache Kafka의 ALTER CLUSTER ACL과 동일합니다. |
|
클러스터 | 아니요 |
kafka-cluster:DescribeClusterDynamicConfiguration |
클러스터의 동적 구성을 설명할 수 있는 권한을 부여하며, 이는 Apache Kafka의 DESCRIBE_CONFIGS CLUSTER ACL과 동일합니다. |
|
클러스터 | 아니요 |
kafka-cluster:AlterClusterDynamicConfiguration |
클러스터의 동적 구성을 변경할 수 있는 권한을 부여하며, 이는 Apache Kafka의 ALTER_CONFIGS CLUSTER ACL과 동일합니다. |
|
클러스터 | 아니요 |
kafka-cluster:WriteDataIdempotently |
클러스터에서 데이터를 멱등적으로 쓸 수 있는 권한을 부여하며, 이는 Apache Kafka의 IDEMPOTENT_WRITE CLUSTER ACL과 동일합니다. |
|
클러스터 | 예 |
kafka-cluster:CreateTopic |
클러스터에 주제를 생성할 수 있는 권한을 부여하며, 이는 Apache Kafka의 CREATE CLUSTER/TOPIC ACL과 동일합니다. |
|
주제 | 예 |
kafka-cluster:DescribeTopic |
클러스터의 주제를 설명할 수 있는 권한을 부여하며, 이는 Apache Kafka의 DESCRIBE TOPIC ACL과 동일합니다. |
|
주제 | 예 |
kafka-cluster:AlterTopic |
클러스터의 주제를 변경할 수 있는 권한을 부여하며, 이는 Apache Kafka의 ALTER TOPIC ACL과 동일합니다. |
|
주제 | 예 |
kafka-cluster:DeleteTopic |
클러스터에서 주제를 삭제할 수 있는 권한을 부여하며, 이는 Apache Kafka의 DELETE TOPIC ACL과 동일합니다. |
|
주제 | 예 |
kafka-cluster:DescribeTopicDynamicConfiguration |
클러스터에서 주제의 동적 구성을 설명할 수 있는 권한을 부여하며, 이는 Apache Kafka의 DESCRIBE_CONFIGS TOPIC ACL과 동일합니다. |
|
주제 | 예 |
kafka-cluster:AlterTopicDynamicConfiguration |
클러스터에서 주제의 동적 구성을 변경할 수 있는 권한을 부여하며, 이는 Apache Kafka의 ALTER_CONFIGS TOPIC ACL과 동일합니다. |
|
주제 | 예 |
kafka-cluster:ReadData |
클러스터의 토픽에서 데이터를 읽을 수 있는 권한을 부여하며, 이는 Apache Kafka의 READ TOPIC ACL과 동일합니다. |
|
주제 | 예 |
kafka-cluster:WriteData |
Apache Kafka의 WRITE TOPIC ACL에 해당하는 클러스터에서 주제에 데이터를 쓸 수 있는 권한을 부여합니다. |
|
주제 | 예 |
kafka-cluster:DescribeGroup |
클러스터에서 그룹을 설명할 수 있는 권한을 부여하며, 이는 Apache Kafka의 DESCRIBE GROUP ACL과 동일합니다. |
|
그룹 | 예 |
kafka-cluster:AlterGroup |
클러스터의 그룹에 참여할 수 있는 권한을 부여하며, 이는 Apache Kafka의 READ GROUP ACL과 동일합니다. |
|
그룹 | 예 |
kafka-cluster:DeleteGroup |
클러스터에서 그룹을 삭제할 수 있는 권한을 부여하며, 이는 Apache Kafka의 DELETE GROUP ACL과 동일합니다. |
|
그룹 | 예 |
kafka-cluster:DescribeTransactionalId |
클러스터에서 트랜잭션 ID를 설명할 수 있는 권한을 부여하며, 이는 Apache Kafka의 DESCRIBE TRANSACTIONAL_ID ACL과 동일합니다. |
|
transactional-id | 예 |
kafka-cluster:AlterTransactionalId |
클러스터의 트랜잭션 ID를 변경할 수 있는 권한을 부여하며, 이는 Apache Kafka의 WRITE TRANSACTIONAL_ID ACL과 동일합니다. |
|
transactional-id | 예 |
콜론 뒤에 오는 작업에서 별표(*) 와일드카드를 여러 번 사용할 수 있습니다. 예를 들면 다음과 같습니다.
kafka-cluster:*Topic은kafka-cluster:CreateTopic,kafka-cluster:DescribeTopic,kafka-cluster:AlterTopic,kafka-cluster:DeleteTopic을 나타냅니다.kafka-cluster:DescribeTopicDynamicConfiguration또는kafka-cluster:AlterTopicDynamicConfiguration은 포함되지 않습니다.-
kafka-cluster:*는 모든 권한을 나타냅니다.
권한 부여 정책 리소스
다음 표에는 Amazon MSK를 위한 IAM 액세스 제어를 사용할 때 권한 부여 정책에 사용할 수 있는 4가지 유형의 리소스를 보여줍니다. 에서 또는 DescribeCluster API AWS Management Console 또는 describe-cluster
| Resource | ARN 형식 |
|---|---|
| Cluster | arn:aws:kafka:region:account-id:cluster/cluster-name/cluster-uuid |
| Topic | arn:aws:kafka:region:account-id:topic/cluster-name/cluster-uuid/topic-name |
| Group | arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/group-name |
| 트랜잭션 ID | arn:aws:kafka:region:account-id:transactional-id/cluster-name/cluster-uuid/transactional-id |
별표(*) 와일드카드는 ARN의 :cluster/, :topic/, :group/, :transactional-id/ 뒤에 오는 부분 어디에서나 여러 번 사용할 수 있습니다. 다음은 별표(*) 와일드카드를 사용하여 여러 리소스를 참조하는 방법에 대한 몇 가지 예입니다.
-
arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/*: 클러스터의 UUID에 관계없이 MyTestCluster라는 이름의 모든 클러스터에 있는 모든 주제입니다. -
arn:aws:kafka:us-east-1:0123456789012:topic/MyTestCluster/abcd1234-0123-abcd-5678-1234abcd-1/*_test: 이름이 MyTestCluster이고 UUID가 abcd1234-0123-abcd-5678-1234abcd-1인 클러스터에서 이름이 “_test”로 끝나는 모든 주제입니다. arn:aws:kafka:us-east-1:0123456789012:transactional-id/MyTestCluster/*/5555abcd-1111-abcd-1234-abcd1234-1: 계정에 있는 MyTestCluster라는 클러스터의 모든 구현에서 트랜잭션 ID가 5555abcd-1111-abcd-1234-abcd1234-1인 모든 트랜잭션입니다. 즉, MyTestCluster라는 이름의 클러스터를 생성한 다음 삭제한 다음 같은 이름의 다른 클러스터를 생성하는 경우 이 리소스 ARN을 사용하여 두 클러스터에서 동일한 트랜잭션 ID를 나타낼 수 있습니다. 그러나 삭제된 클러스터는 액세스할 수 없습니다.
