設定 Amazon MSK 事件來源映射的 Lambda 許可 - AWS Lambda
所需的許可可選的許可。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 Amazon MSK 事件來源映射的 Lambda 許可

若要存取 Amazon MSK 叢集,函式和事件來源映射需要執行各種 Amazon MSK API 動作的許可。將這些許可新增至函式的執行角色。如果使用者需要存取權,請將必要許可新增至使用者或角色的身分政策。

AWSLambdaMSKExecutionRole 受管政策包含 Amazon MSK Lambda 事件來源映射所需的最低許可。若要簡化許可程序,您可以:

所需的許可

您的 Lambda 函數執行角色必須具有下列 Amazon MSK 事件來源映射的必要許可。這些許可包含在 AWSLambdaMSKExecutionRole 受管政策中。

CloudWatch Logs 許可

下列許可允許 Lambda 在 Amazon CloudWatch Logs 中建立和存放日誌。

MSK 叢集許可

下列許可允許 Lambda 代表您存取您的 Amazon MSK 叢集:

我們建議您使用 kafka:DescribeClusterV2,而非 kafka:DescribeCluster。v2 許可適用於佈建和無伺服器 Amazon MSK 叢集。您只需要政策中的其中一個許可。

VPC 許可

下列許可允許 Lambda 在連線至 Amazon MSK 叢集時建立和管理網路介面:

可選的許可。

您的 Lambda 函數可能需要許可,才能:

  • 存取跨帳戶 Amazon MSK 叢集。對於跨帳戶事件來源映射,您需要執行角色中的 kafka:DescribeVpcConnection。建立跨帳戶事件來源映射的 IAM 主體需要 kafka:ListVpcConnections

  • 存取 SCRAM 秘密 (若使用 SASL/SCRAM 身分驗證)。此舉可讓函式透過使用者名稱與密碼連線至 Kafka。

  • 描述 Secrets Manager 秘密 (若使用 SASL/SCRAM 或 mTLS 身分驗證)。此舉可讓函式擷取安全連線所需的憑證或認證。

  • 如果您的 AWS Secrets Manager 秘密是使用 AWS KMS 客戶受管金鑰加密,請存取您的 AWS KMS 客戶受管金鑰。

  • 存取結構描述登錄檔秘密 (若使用的結構描述登錄檔需進行身分驗證):

    • 對於 AWS Glue 結構描述登錄檔:您的函數需求glue:GetRegistryglue:GetSchemaVersion許可。這些許可能夠讓函式查詢並使用儲存在 AWS Glue中的訊息格式規則。

    • 對於使用 BASIC_AUTHCLIENT_CERTIFICATE_TLS_AUTHConfluent 結構描述登錄檔:函式需要對包含身分驗證憑證的秘密具有 secretsmanager:GetSecretValue 許可。這可讓函式擷取存取 Confluent 結構描述登錄檔所需的使用者名稱/密碼或憑證。

    • 對於私有 CA 憑證:函式需要對包含憑證的秘密具有 secretsmanager:GetSecretValue 許可。此舉可讓函式驗證使用自訂憑證的結構描述登錄檔身分。

  • 如果您使用 IAM 身分驗證進行事件來源映射,請從主題存取 Kafka 叢集取用者群組和輪詢訊息。

這些對應至下列必要許可:

此外,若想將失敗調用的記錄傳送至失敗時目的地,根據目的地類型,您將需要下列許可:

  • 對於 Amazon SQS 目的地:sqs:SendMessage – 允許將訊息傳送至 Amazon SQS 佇列

  • 對於 Amazon SNS 目的地:sns:Publish – 允許將訊息發布至 Amazon SNS 主題

  • 對於 Amazon S3 儲存貯體目的地:s3:PutObjects3:ListBucket – 允許在 Amazon S3 儲存貯體中寫入及列出物件

如需疑難排解身分驗證與授權錯誤的相關資訊,請參閱對 Kafka 事件來源映射錯誤進行疑難排解