MSK Connect의 AWS 관리형 정책 - Amazon Managed Streaming for Apache Kafka
AmazonMSKConnectReadOnlyAccessKafkaConnectServiceRolePolicy정책 업데이트

MSK Connect의 AWS 관리형 정책

AWS 관리형 정책은 AWS에 의해 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 위탁자 ID(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새 AWS 서비스을(를) 시작하거나 새 API 작업을 기존 서비스에 이용하는 경우, AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

AWS 관리형 정책: AmazonMSKConnectReadOnlyAccess

해당 정책은 사용자에게 MSK Connect 리소스를 나열하고 설명하는 데 필요한 권한을 부여합니다.

AmazonMSKConnectReadOnlyAccess 정책을 IAM ID에 연결할 수 있습니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:ListConnectors",
                "kafkaconnect:ListCustomPlugins",
                "kafkaconnect:ListWorkerConfigurations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeConnector"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:connector/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeCustomPlugin"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:custom-plugin/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:DescribeWorkerConfiguration"
            ],
            "Resource": [
                "arn:aws:kafkaconnect:*:*:worker-configuration/*"
            ]
        }
    ]
}

AWS 관리형 정책: KafkaConnectServiceRolePolicy

해당 정책은 MSK Connect 서비스에 AmazonMSKConnectManaged:true 태그가 있는 네트워크 인터페이스를 생성하고 관리하는 데 필요한 권한을 부여합니다. 이러한 네트워크 인터페이스를 통해 MSK Connect 네트워크는 Apache Kafka 클러스터나 소스 또는 싱크와 같은 Amazon VPC의 리소스에 액세스할 수 있습니다.

KafkaConnectServiceRolePolicy를 IAM 엔터티에 연결할 수 없습니다. 이 정책은 MSK Connect가 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 연결 역할에 연결되어 있습니다.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"aws:RequestTag/AmazonMSKConnectManaged": "true"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "AmazonMSKConnectManaged"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws:ec2:*:*:subnet/*",
				"arn:aws:ec2:*:*:security-group/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:AttachNetworkInterface",
				"ec2:DetachNetworkInterface",
				"ec2:DeleteNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/AmazonMSKConnectManaged": "true"
				}
			}
		}
	]
}

AWS 관리형 정책으로 MSK Connect 업데이트

해당 서비스가 이러한 변경 사항을 추적하기 시작한 이후 MSK Connect의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.

변경 사항 설명 날짜

MSK Connect 읽기 전용 정책 업데이트

MSK Connect는 리스팅 작업에 대한 제한을 제거하기 위해 AmazonMSKConnectReadOnlyAccess 정책을 업데이트했습니다.

 2021년 10월 13일

MSK Connect에서 변경 사항 추적 시작

MSK Connect가 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.

 2021년 9월 14일