本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 步骤 2:将集群策略附加到 MSK 集群 集群所有者可以将集群策略(也称为[基于资源的策略](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies))附加到 MSK 集群,您将在其中开启多 VPC 私有连接。集群策略会授予客户端从其他账户访问集群的权限。在编辑集群策略之前,您需要应有权访问 MSK 集群的账户的账户 ID。请参阅 [How Amazon MSK works with IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html)。 集群所有者必须将集群策略附加到 MSK 集群,该策略将授权账户 B 中的跨账户用户获取集群的引导代理,并授权对账户 A 中的 MSK 集群执行以下操作: + CreateVpcConnection + GetBootstrapBrokers + DescribeCluster + DescribeClusterV2 **Example** 作为参考,以下是基本集群策略的 JSON 示例,类似于 MSK 控制台 IAM policy 编辑器中显示的默认策略。以下策略授予集群、主题和组级的访问权限。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "123456789012" }, "Action": [ "kafka:CreateVpcConnection", "kafka:GetBootstrapBrokers", "kafka:DescribeCluster", "kafka:DescribeClusterV2", "kafka-cluster:*" ], "Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2" }, { "Effect": "Allow", "Principal": { "AWS": "123456789012" }, "Action": "kafka-cluster:*", "Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*" }, { "Effect": "Allow", "Principal": { "AWS": "123456789012" }, "Action": "kafka-cluster:*", "Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*" } ] } ``` **将集群策略附加到 MSK 集群** 1. 在 Amazon MSK 控制台的 **MSK 集群**下,选择**集群**。 1. 向下滚动到**安全设置**,然后选择**编辑集群策略**。 1. 在控制台的**编辑集群策略**屏幕上,选择**多 VPC 连接的基本策略**。 1. 在**账户 ID** 字段中,输入应有权访问此集群的每个账户的账户 ID。在您输入 ID 时,它会自动复制到显示的策略 JSON 语法中。在我们的示例集群策略中,账户 ID 为 *111122223333*。 1. 选择**保存更改**。 有关集群策略的信息 APIs,请参阅 [Amazon MSK 基于资源的](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies)策略。