Configurazione delle autorizzazioni Lambda per le mappature delle sorgenti degli eventi Amazon MSK - AWS Lambda
Autorizzazioni richiesteAutorizzazioni facoltative

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle autorizzazioni Lambda per le mappature delle sorgenti degli eventi Amazon MSK

Per accedere al cluster Amazon MSK, la mappatura delle funzioni e delle sorgenti degli eventi necessita delle autorizzazioni per eseguire varie azioni dell'API Amazon MSK. Aggiungi queste autorizzazioni al ruolo di esecuzione della funzione. Se gli utenti devono accedere, aggiungi le autorizzazioni richieste alla politica di identità per l'utente o il ruolo.

La policy gestita dai AWSLambdaMSKExecutionruoli contiene le autorizzazioni minime richieste per le mappature delle sorgenti degli eventi Amazon MSK Lambda. Per semplificare il processo di autorizzazione, puoi:

  • Allega la politica di gestione dei AWSLambdaMSKExecutionruoli al tuo ruolo di esecuzione.

  • Lascia che la console Lambda generi le autorizzazioni per te. Quando crei una mappatura dell'origine degli eventi Amazon MSK nella console, Lambda valuta il tuo ruolo di esecuzione e ti avvisa se mancano delle autorizzazioni. Scegli Genera autorizzazioni per aggiornare automaticamente il tuo ruolo di esecuzione. Questo non funziona se hai creato o modificato manualmente i criteri relativi ai ruoli di esecuzione o se i criteri sono associati a più ruoli. Tieni presente che potrebbero essere ancora necessarie autorizzazioni aggiuntive nel ruolo di esecuzione quando utilizzi funzionalità avanzate come On-Failure Destination o AWS Glue Schema Registry.

Autorizzazioni richieste

Il ruolo di esecuzione della funzione Lambda deve avere le seguenti autorizzazioni richieste per le mappature delle sorgenti degli eventi Amazon MSK. Queste autorizzazioni sono incluse nella politica di gestione dei ruoli. AWSLambda MSKExecution

CloudWatch Registra le autorizzazioni

Le seguenti autorizzazioni consentono a Lambda di creare e archiviare log in CloudWatch Amazon Logs.

autorizzazioni del cluster MSK

Le seguenti autorizzazioni consentono a Lambda di accedere al tuo cluster Amazon MSK per tuo conto:

Ti consigliamo di usare kafka: DescribeCluster V2 invece di kafka:. DescribeCluster L'autorizzazione v2 funziona sia con i cluster Amazon MSK con provisioning che senza server. Nella tua policy ti serve solo una di queste autorizzazioni.

Autorizzazioni VPC

Le seguenti autorizzazioni consentono a Lambda di creare e gestire interfacce di rete durante la connessione al cluster Amazon MSK:

Autorizzazioni facoltative

La funzione Lambda potrebbe richiedere autorizzazioni per:

  • Accedi ai cluster Amazon MSK con più account. Per le mappature delle sorgenti degli eventi tra account, è necessario kafka: nel ruolo di esecuzione. DescribeVpcConnection Un preside IAM che crea una mappatura delle sorgenti degli eventi tra account ha bisogno di kafka:. ListVpcConnections

  • Accedi al tuo segreto SCRAM, se utilizzi l'autenticazione SASL/SCRAM. Ciò consente alla funzione di utilizzare un nome utente e una password per connettersi a Kafka.

  • Descrivi il tuo segreto di Secrets Manager, se utilizzi l' SASL/SCRAM autenticazione MTLS. Ciò consente alla funzione di recuperare le credenziali o i certificati necessari per connessioni sicure.

  • Accedi alla tua chiave gestita AWS KMS dal cliente, se il tuo Gestione dei segreti AWS segreto è crittografato con una chiave gestita AWS KMS dal cliente.

  • Accedi ai segreti del registro degli schemi, se utilizzi un registro degli schemi con autenticazione:

    • Per il registro AWS Glue degli schemi: le esigenze glue:GetRegistry e le glue:GetSchemaVersion autorizzazioni della funzione. Questi consentono alla funzione di cercare e utilizzare le regole di formato dei messaggi memorizzate in AWS Glue.

    • Per Confluent Schema Registry con BASIC_AUTH oCLIENT_CERTIFICATE_TLS_AUTH: La tua funzione richiede l'secretsmanager:GetSecretValueautorizzazione per il segreto contenente le credenziali di autenticazione. Ciò consente alla funzione di recuperare i certificati username/password o necessari per accedere al Confluent Schema Registry.

    • Per i certificati CA privati: la tua funzione richiede secretsmanager: GetSecretValue autorizzazione per il segreto contenente il certificato. Ciò consente alla funzione di verificare l'identità dei registri dello schema che utilizzano certificati personalizzati.

  • Accedi ai gruppi di consumatori del cluster Kafka e ai messaggi di sondaggio relativi all'argomento, se utilizzi l'autenticazione IAM per la mappatura delle sorgenti degli eventi.

Queste corrispondono alle seguenti autorizzazioni richieste:

Inoltre, se desideri inviare i record delle chiamate non riuscite a una destinazione in caso di errore, avrai bisogno delle seguenti autorizzazioni a seconda del tipo di destinazione:

  • Per le destinazioni Amazon SQS: sqs: SendMessage - Consente l'invio di messaggi a una coda Amazon SQS

  • Per le destinazioni Amazon SNS: SNS:Publish - Consente la pubblicazione di messaggi su un argomento Amazon SNS

  • Per le destinazioni dei bucket Amazon S3: s3: PutObject e s3: ListBucket - Abilita la scrittura e l'elenco di oggetti in un bucket Amazon S3

Per la risoluzione degli errori di autenticazione e autorizzazione, consulta. Risoluzione degli errori relativi allo strumento di mappatura dell'origine degli eventi di Apache Kafka autogestito