Permisos de roles vinculados a servicios para Amazon MSK - Transmisión administrada de Amazon para Apache Kafka

Permisos de roles vinculados a servicios para Amazon MSK

Amazon MSK usa el rol vinculado a servicios denominado AWSServiceRoleForKafka. Amazon MSK utiliza esta función para acceder a sus recursos y realizar operaciones como las siguientes:

  • *NetworkInterface: cree y administre interfaces de red en la cuenta del cliente que hagan que los clientes de la VPC del cliente puedan acceder a los agentes de clústeres.

  • *VpcEndpoints: administre los puntos de conexión de VPC en la cuenta del cliente para que los clientes de la VPC del cliente que usen AWS PrivateLinkpuedan acceder a los agentes de clústeres. Amazon MSK usa permisos para DescribeVpcEndpoints, ModifyVpcEndpoint y DeleteVpcEndpoints.

  • secretsmanager: administre las credenciales de los clientes con AWS Secrets Manager.

  • GetCertificateAuthorityCertificate: recupere el certificado para su autoridad de certificación privada.

Este rol vinculado a un servicio se adjunta a la siguiente política administrada: KafkaServiceRolePolicy. Para ver las actualizaciones de esta política, consulte KafkaServiceRolePolicy.

El rol vinculado al servicio AWSServiceRoleForKafka depende de los siguientes servicios para asumir el rol:

  • kafka.amazonaws.com

La política de permisos del rol permite que Amazon MSK realice las siguientes acciones en los recursos.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DescribeNetworkInterfaces",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:AttachNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DetachNetworkInterface",
				"ec2:DescribeVpcEndpoints",
				"acm-pca:GetCertificateAuthorityCertificate",
				"secretsmanager:ListSecrets"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:ModifyVpcEndpoint"
			],
			"Resource": "arn:*:ec2:*:*:subnet/*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteVpcEndpoints",
				"ec2:ModifyVpcEndpoint"
			],
			"Resource": "arn:*:ec2:*:*:vpc-endpoint/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/AWSMSKManaged": "true"
				},
				"StringLike": {
					"ec2:ResourceTag/ClusterArn": "*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"secretsmanager:GetResourcePolicy",
				"secretsmanager:PutResourcePolicy",
				"secretsmanager:DeleteResourcePolicy",
				"secretsmanager:DescribeSecret"
			],
			"Resource": "*",
			"Condition": {
				"ArnLike": {
					"secretsmanager:SecretId": "arn:*:secretsmanager:*:*:secret:AmazonMSK_*"
				}
			}
		}
	]
}

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.