通过 IAM 用户使用消息队列 Kafka版前,应先通过火山引擎账号为 IAM 用户授予相关的访问权限,消息队列 Kafka版支持自定义的权限策略,本文档介绍消息队列 Kafka版各种常见场景下的自定义访问策略示例。
被授予以下权限策略后,IAM 用户可以通过控制台或 OpenAPI 查看指定实例的配置及接入点等基本信息、查看 Topic列表和分区详情、查看 Group 列表及其消费状态、查询消息等。
{ "Statement": [ { "Effect": "Allow", "Action": [ "kafka:Get*", "kafka:List*", "kafka:Describe*", "kafka:Query*" ], "Resource": [ "trn:Kafka:cn-beijing:210004****:instance/kafka-cnoetpgh3bid****" ] } ] }
被授予以下权限策略后,IAM 用户可以通过控制台或 OpenAPI 查看并管理指定实例所有信息,包括升级实例规格、开启或关闭公网访问等实例管理操作,以及实例中 Topic、Group、SASL 用户等其他资源的所有管理操作。
{ "Statement": [ { "Effect": "Allow", "Action": [ "*" ], "Resource": [ "trn:Kafka:cn-beijing:210004****:instance/kafka-cnoetpgh3bid****" ] } ] }
被授予以下权限策略后,IAM 用户可以通过控制台或 OpenAPI 进行创建 Group、查看 Group 列表、重置消费位点等操作。
{ "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateGroup", "kafka:ModifyGroup", "kafka:DeleteGroup", "kafka:DescribeGroups", "kafka:DescribeConsumedTopics", "kafka:DescribeConsumedPartitions", "kafka:ResetConsumedOffsets" ], "Resource": [ "trn:Kafka:cn-beijing:210004****:instance/*" ] } ] }
被授予以下权限策略后,IAM 用户可以通过控制台或 OpenAPI 创建 SASL 用户、为其设置权限、重置密码、查看密码或删除用户。
{ "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateUser", "kafka:DeleteUser", "kafka:ModifyUserAuthority", "kafka:DescribeUsers", "kafka:DescribeInstances", "kafka:DescribeInstanceDetail", "kafka:DescribeTopics", "kafka:DescribeAvailabilityZones", "kafka:ModifyTopicAccessPolicies", "kafka:ModifyUserPassword", "kafka:DescribeUserPassword" ], "Resource": [ "trn:Kafka:cn-beijing:210004****:instance/*" ] } ] }