步驟 2:將叢集政策連接至 MSK 叢集 - Amazon Managed Streaming for Apache Kafka

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 2:將叢集政策連接至 MSK 叢集

叢集擁有者可以將叢集政策 (也稱為資源型政策) 連接至 MSK 叢集,您將在其中開啟多 VPC 私有連線。叢集政策授予用戶端從另一個帳戶存取叢集的許可。在編輯叢集政策之前,您需要有權存取 MSK 叢集之帳戶的帳戶 ID。請參閱 Amazon MSK 如何與 IAM 搭配運作

叢集擁有者必須將叢集政策連接至 MSK 叢集,該政策會授權帳戶 B 中的跨帳戶使用者取得該叢集的引導代理程式,並授權對帳戶 A 中 MSK 叢集的下列動作:

  • CreateVpcConnection

  • GetBootstrapBrokers

  • DescribeCluster

  • DescribeClusterV2

如需參考,以下是基本叢集政策的 JSON 範例,與在 MSK 主控台 IAM 政策編輯器中顯示的預設政策類似。下列政策會授予叢集、主題和群組層級存取的許可。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": [
        "kafka:CreateVpcConnection",
        "kafka:GetBootstrapBrokers",
        "kafka:DescribeCluster",
        "kafka:DescribeClusterV2",
        "kafka-cluster:*"
      ],
      "Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
    }
  ]
}
將叢集政策連接至 MSK 叢集

  1. 在 Amazon MSK 主控台的 MSK 叢集下,選擇叢集

  2. 向下捲動至安全設定,然後選取編輯叢集政策。

  3. 在主控台的編輯叢集政策畫面上,選取多 VPC 連線的基本政策

  4. 帳戶 ID 欄位中,輸入每個有權存取此叢集之帳戶的帳戶 ID。輸入 ID 後,系統會自動將該 ID 複製到顯示的政策 JSON 語法中。在範例叢集政策中,帳戶 ID 為 123456789012

  5. 選取儲存變更

如需有關叢集政策 API 的相關資訊,請參閱 Amazon MSK 資源型政策