Managed Service for Apache Kafka 角色和权限

本文档列出了 Google Cloud Managed Service for Apache Kafka 提供的预定义角色和权限。

Managed Service for Apache Kafka 预定义角色

下表列出了 Managed Service for Apache Kafka 的预定义角色。

角色	说明	权限
Managed Kafka Viewer roles/managedkafka.viewer	拥有对 Managed Service for Apache Kafka 资源的只读权限。您可以授予此角色的最低级层资源： 集群 主题 ConsumerGroup	此角色可提供以下权限： resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list serviceusage.consumerpolicy.get serviceusage.effectivepolicy.get serviceusage.groups.list serviceusage.groups.listMembers serviceusage.groups.listFlattenedMembers serviceusage.reverseclosure.get serviceusage.values.check serviceusage.values.fetchValueInfo serviceusage.values.fetchServiceApis managedkafka.operations.list managedkafka.operations.get managedkafka.locations.list managedkafka.locations.get managedkafka.clusters.list managedkafka.clusters.get managedkafka.consumerGroups.list managedkafka.consumerGroups.get managedkafka.topics.list managedkafka.topics.get managedkafka.connectClusters.list managedkafka.connectClusters.get managedkafka.connectors.list managedkafka.connectors.get 此角色包含以下角色： roles/managedkafka.aclViewer roles/managedkafka.schemaRegistryViewer
Managed Kafka Client 角色 roles/managedkafka.client	提供连接集群中 Managed Service for Apache Kafka 服务器的权限。	此角色可提供以下权限： managedkafka.clusters.connect managedkafka.clusters.attachConnectCluster managedkafka.schemas.listTypes managedkafka.schemas.get managedkafka.subjects.lookup managedkafka.versions.get 此角色包含以下角色： roles/managedkafka.topicEditor roles/managedkafka.consumerGroupEditor
Managed Kafka Topic Editor roles/managedkafka.topicEditor	提供对主题元数据的读写权限。此角色适用于配置主题的开发者。您可以授予此角色的最低级层资源： 主题	此角色可提供以下权限： managedkafka.topics.create managedkafka.topics.update managedkafka.topics.delete 此角色包含以下角色： roles/managedkafka.viewer
Managed Kafka ConsumerGroup Editor roles/managedkafka.consumerGroupEditor	提供对使用方群组元数据的读写权限。此角色面向开发者。 您可以授予此角色的最低级层资源： ConsumerGroup	此角色可提供以下权限： managedkafka.consumerGroups.create managedkafka.consumerGroups.update managedkafka.consumerGroups.delete 此角色包含以下角色： roles/managedkafka.viewer
Managed Kafka Cluster Editor roles/managedkafka.clusterEditor	提供对 Managed Service for Apache Kafka 集群的读写权限。此角色适用于将集群管理员的职责与使用主题的应用开发者的职责分开的组织。您可以授予此角色的最低级层资源： 集群	此角色可提供以下权限： managedkafka.clusters.create managedkafka.clusters.update managedkafka.clusters.delete 此角色包含以下角色： roles/managedkafka.viewer
Managed Kafka Connect Cluster Editor roles/managedkafka.connectClusterEditor	提供对 Kafka Connect 集群的读写权限。	此角色可提供以下权限： managedkafka.connectClusters.list managedkafka.connectClusters.get managedkafka.connectors.list managedkafka.connectors.get managedkafka.connectClusters.create managedkafka.connectClusters.update managedkafka.connectClusters.delete
Managed Kafka Connector Editor roles/managedkafka.connectorEditor	提供对连接器的读写权限。	此角色可提供以下权限： managedkafka.connectors.create managedkafka.connectors.update managedkafka.connectors.delete managedkafka.connectors.pause managedkafka.connectors.resume managedkafka.connectors.restart managedkafka.connectors.stop 此角色包含以下角色： roles/managedkafka.viewer
Managed Kafka ACL Viewer roles/managedkafka.aclViewer	拥有对 Managed Service for Apache Kafka ACL 资源的只读权限。 您可以授予此角色的最低级层资源： Acl	此角色可提供以下权限： managedkafka.acls.list managedkafka.acls.get
Schema Registry Viewer roles/managedkafka.schemaRegistryViewer	查看架构和架构版本。	此角色可提供以下权限： managedkafka.schemaRegistries.get managedkafka.schemaRegistries.list managedkafka.contexts.get managedkafka.contexts.list managedkafka.schemas.listSubjects managedkafka.schemas.listVersions managedkafka.schemas.listTypes managedkafka.schemas.get managedkafka.subjects.list managedkafka.subjects.lookup managedkafka.versions.get managedkafka.versions.list managedkafka.versions.referencedby managedkafka.versions.checkCompatibility managedkafka.config.get managedkafka.mode.get
Schema Registry Editor roles/managedkafka.schemaRegistryEditor	查看和修改架构和架构版本。	此角色可提供以下权限： managedkafka.schemaRegistries.create managedkafka.schemaRegistries.delete managedkafka.versions.delete managedkafka.versions.create managedkafka.subjects.delete 此角色包含以下角色： roles/managedkafka.schemaRegistryViewer
Schema Registry Admin roles/managedkafka.schemaRegistryAdmin	拥有对架构、架构版本和配置的完整访问权限。	此角色可提供以下权限： managedkafka.config.update managedkafka.config.delete managedkafka.mode.update managedkafka.mode.delete 此角色包含以下角色： roles/managedkafka.schemaRegistryEditor
Managed Kafka Service Agent roles/managedkafka.serviceAgent	为 Managed Kafka Service Agent 授予对 Cloud Platform 资源的访问权限。	此角色可提供以下权限： managedkafka.clusters.connect
Managed Kafka ACL 编辑器 roles/managedkafka.aclEditor	提供对 Managed Service for Apache Kafka ACL 的读写权限。此角色适用于将集群安全管理员的职责与管理集群或其中其他资源的应用开发者的职责分开的组织。您可以授予此角色的最低级层资源： ACL	此角色可提供以下权限： managedkafka.acls.create managedkafka.acls.update managedkafka.acls.updateEntries managedkafka.acls.delete 此角色包含以下角色： roles/managedkafka.aclViewer
Managed Kafka Admin 角色 roles/managedkafka.admin	拥有对 Managed Service for Apache Kafka 资源的完整访问权限。您可以授予此角色的最低级层资源： 项目 集群 ConsumerGroup 主题	此角色可提供以下权限： managedkafka.operations.delete managedkafka.operations.cancel managedkafka.clusters.connect managedkafka.clusters.attachConnectCluster 此角色包含以下角色： roles/managedkafka.topicEditor roles/managedkafka.clusterEditor roles/managedkafka.connectClusterEditor roles/managedkafka.connectorEditor roles/managedkafka.consumerGroupEditor roles/managedkafka.aclEditor roles/managedkafka.schemaRegistryAdmin

与 Managed Kafka API 关联的权限

如需使用任何 API 方法，主账号必须拥有相应的 IAM 权限才能授权请求。主账号是可以被授予访问权限的身份，例如用户账号、服务账号、Google 群组或整个 Google Workspace 网域。

下表详细说明了与 Managed Service for Apache Kafka 资源互动的每种方法所需的权限。例如，如需调用 projects.locations.clusters.list 方法，发出请求的主账号必须拥有目标位置的 managedkafka.clusters.list 权限。

集群权限

下表列出了主账号在调用 Managed Service for Apache Kafka 集群资源上的每种方法时必须具备的权限。

方法	所需权限	说明
projects.locations.clusters.list	父级位置上的 managedkafka.clusters.list 权限。	列出给定位置中的所有 Kafka 集群。
projects.locations.clusters.get	针对所请求集群的 managedkafka.clusters.get 权限	获取特定 Kafka 集群的详细信息。
projects.locations.clusters.create	父级位置上的 managedkafka.clusters.create 权限。	在指定位置创建新的 Kafka 集群。
projects.locations.clusters.update	请求的 Kafka 集群上的 managedkafka.clusters.update 权限	更新现有 Kafka 集群的配置。
projects.locations.clusters.delete	请求的 Kafka 集群上的 managedkafka.clusters.delete 权限	删除 Kafka 集群。
projects.locations.clusters.attachConnectCluster	针对所请求 Kafka 集群的 managedkafka.clusters.attachConnectCluster 权限。	将 Connect 集群附加到受管理的 Kafka 集群。

ACL 的权限

下表列出了主账号在调用 Managed Service for Apache Kafka ACL 资源上的每种方法时必须具备的权限。

方法	所需权限	说明
projects.locations.clusters.acls.list	父级集群上的 managedkafka.acls.list 权限	列出指定 Managed Service for Apache Kafka 集群中的所有 ACL。
projects.locations.clusters.acls.get	针对所请求 ACL 的 managedkafka.acls.get 权限	获取 Managed Service for Apache Kafka 集群中特定 ACL 的详细信息。
projects.locations.clusters.acls.create	父级集群上的 managedkafka.acls.create 权限	在 Managed Service for Apache Kafka 集群中创建新的 ACL。
projects.locations.clusters.acls.update	针对所请求 ACL 的 managedkafka.acls.update 权限	更新 Managed Service for Apache Kafka 集群中现有 ACL 的配置。
projects.locations.clusters.acls.delete	针对所请求 ACL 的 managedkafka.acls.delete 权限	从 Managed Service for Apache Kafka 集群中删除 ACL。
projects.locations.clusters.acls.updateEntries	针对所请求 ACL 的 managedkafka.acls.updateEntries 权限	更新 Managed Service for Apache Kafka 集群中现有 ACL 的条目。

主题的权限

下表列出了正文在调用 Managed Service for Apache Kafka 主题资源上的每种方法时必须具备的权限。

方法	所需权限	说明
projects.locations.clusters.topics.list	父级集群上的 managedkafka.topics.list 权限	列出指定 Kafka 集群中的所有主题。
projects.locations.clusters.topics.get	父级集群上的 managedkafka.topics.get 权限	获取 Kafka 集群中特定主题的详细信息。
projects.locations.clusters.topics.create	父级集群上的 managedkafka.topics.create 权限	在 Kafka 集群中创建新主题。
projects.locations.clusters.topics.update	父级集群上的 managedkafka.topics.update 权限	更新 Kafka 集群中现有主题的配置。
projects.locations.clusters.topics.delete	父级集群上的 managedkafka.topics.delete 权限	从 Kafka 集群中删除主题。

个人用户群组的权限

下表列出了主账号必须具备的权限，才能调用受管服务中的 Apache Kafka 使用方组资源上的每种方法。

方法	所需权限	说明
projects.locations.clusters.consumerGroups.list	父级集群上的 managedkafka.consumerGroups.list 权限	列出给定 Kafka 集群中的所有消费者群组。
projects.locations.clusters.consumerGroups.get	父级集群上的 managedkafka.consumerGroups.get 权限	获取 Kafka 集群中特定消费群组的详细信息。
projects.locations.clusters.consumerGroups.update	父级集群上的 managedkafka.consumerGroups.update 权限	更新 Kafka 集群中现有消费群组的配置。
projects.locations.clusters.consumerGroups.delete	父级集群上的 managedkafka.consumerGroups.delete 权限	从 Kafka 集群中删除使用方群组。

连接集群的权限

下表列出了主账号在调用 Managed Service for Apache Kafka Connect 集群资源上的每种方法时必须具备的权限。

                                                                                                                                                                   

方法	所需权限	说明
projects.locations.connectClusters.list	父级位置上的 managedkafka.connectClusters.list 权限。	列出给定位置中的所有 Connect 集群。
projects.locations.connectClusters.get	请求的 Connect 集群上的 managedkafka.connectClusters.get 权限	获取特定 Connect 集群的详细信息。
projects.locations.connectClusters.create	父级位置上的 managedkafka.connectClusters.create 权限。	在指定位置创建新的 Connect 集群。
projects.locations.connectClusters.update	请求的 Connect 集群上的 managedkafka.connectClusters.update 权限	更新现有 Connect 集群的配置。
projects.locations.connectClusters.delete	请求的 Connect 集群上的 managedkafka.connectClusters.delete 权限	删除 Connect 集群。

连接器的权限

下表列出了主账号在调用 Managed Service for Apache Kafka 连接器资源上的每种方法时必须具备的权限。

                                                                                                                                                                                                                                                                           

方法	所需权限	说明
projects.locations.connectClusters.connectors.list	父级 Connect 集群上的 managedkafka.connectors.list	列出给定 Connect 集群中的所有连接器。
projects.locations.connectClusters.connectors.get	针对所请求连接器的 managedkafka.connectors.get 权限	获取特定连接器的详细信息。
projects.locations.connectClusters.connectors.create	父级 Connect 集群上的 managedkafka.connectors.create	在 Connect 集群中创建新的连接器。
projects.locations.connectClusters.connectors.update	针对所请求连接器的 managedkafka.connectors.update 权限	更新现有连接器的配置。
projects.locations.connectClusters.connectors.delete	针对所请求连接器的 managedkafka.connectors.delete 权限	删除连接器。
projects.locations.connectClusters.connectors.pause	针对所请求连接器的 managedkafka.connectors.pause 权限	暂停连接器。
projects.locations.connectClusters.connectors.resume	针对所请求连接器的 managedkafka.connectors.resume 权限	恢复连接器。
projects.locations.connectClusters.connectors.restart	针对所请求连接器的 managedkafka.connectors.restart 权限	重启连接器。
projects.locations.connectClusters.connectors.stop	针对所请求连接器的 managedkafka.connectors.stop 权限	停止连接器。

架构注册表的权限

下表列出了主账号在调用 Managed Service for Apache Kafka 架构注册表资源中的每种方法时必须具备的权限。

方法	所需权限	说明
projects.locations.schemaRegistries.list	父级位置上的 managedkafka.schemaRegistries.list 权限。	列出给定位置中的所有架构注册表。
projects.locations.schemaRegistries.get	针对所请求的架构注册表的 managedkafka.schemaRegistries.get 权限	获取特定架构注册表的详细信息。
projects.locations.schemaRegistries.create	父级位置上的 managedkafka.schemaRegistries.create 权限。	在给定位置创建新的架构注册表。
projects.locations.schemaRegistries.update	针对所请求的架构注册表的 managedkafka.schemaRegistries.update 权限	更新特定架构注册表的详细信息。
projects.locations.schemaRegistries.delete	针对所请求的架构注册表的 managedkafka.schemaRegistries.delete 权限	删除架构注册表。

上下文的权限

下表列出了主账号在调用 Managed Service for Apache Kafka 上下文资源中的每种方法时必须具备的权限。

方法	所需权限	说明
projects.locations.schemaRegistries.contexts.list	父级架构注册表上的 managedkafka.schemaRegistries.contexts.list 权限。	列出给定架构注册表中的所有上下文。
projects.locations.schemaRegistries.contexts.get	对所请求上下文的 managedkafka.schemaRegistries.contexts.get 权限	获取特定上下文的详细信息。
projects.locations.schemaRegistries.contexts.create	父级架构注册表上的 managedkafka.contexts.create 权限。	在给定的架构注册表中创建新上下文。
projects.locations.schemaRegistries.contexts.update	对所请求上下文的 managedkafka.contexts.update 权限	更新特定上下文的详细信息。
projects.locations.schemaRegistries.contexts.delete	对所请求上下文的 managedkafka.contexts.delete 权限	删除上下文。

架构的权限

下表列出了主账号在调用 Managed Service for Apache Kafka 架构资源中的每种方法时必须具备的权限。

方法	所需权限	说明
projects.locations.schemaRegistries.contexts.schemas.get	针对所请求架构 ID 的 managedkafka.schemas.get 权限	获取特定架构 ID 的详细信息。
projects.locations.schemaRegistries.contexts.schemas.getSchema	针对所请求架构 ID 的 managedkafka.schemas.get 权限	获取特定架构 ID 的原始架构。
projects.locations.schemaRegistries.contexts.schemas.subjects.list	针对所请求架构的 managedkafka.schemas.listSubjects 权限	列出引用特定架构 ID 的所有主题。
projects.locations.schemaRegistries.contexts.schemas.versions.list	针对所请求架构 ID 的 managedkafka.schemas.listVersions 权限	列出特定架构 ID 的所有架构版本。
projects.locations.schemaRegistries.contexts.schemas.types.list	父注册表上的 managedkafka.schemas.listTypes 权限	列出所有受支持的架构类型。

正文的权限

下表列出了正文在调用 Managed Service for Apache Kafka 主题资源上的每种方法时必须具备的权限。

方法	所需权限	说明
projects.locations.schemaRegistries.contexts.subjects.list	父级上下文的 managedkafka.subjects.list 权限	列出给定上下文中的所有主题。
projects.locations.schemaRegistries.contexts.subjects.delete	针对所请求主题的 managedkafka.subjects.delete 权限	删除科目。可以软删除或硬删除。
projects.locations.schemaRegistries.contexts.subjects.lookupVersion	managedkafka.subjects.lookup	查找指定主题下的架构。

版本的权限

下表列出了主账号在调用 Managed Service for Apache Kafka 版本资源中的每种方法时必须具备的权限。

方法	所需权限	说明
projects.locations.schemaRegistries.contexts.subjects.versions.create	父级上下文的 managedkafka.versions.create 权限	在给定主题下创建新的架构版本。
projects.locations.schemaRegistries.contexts.subjects.versions.delete	针对所请求版本的 managedkafka.versions.delete 权限	删除架构版本。可以软删除或硬删除。
projects.locations.schemaRegistries.contexts.subjects.versions.get	针对所请求版本的 managedkafka.versions.get 权限	获取特定架构版本的详细信息。
projects.locations.schemaRegistries.contexts.subjects.versions.getSchema	针对所请求版本的 managedkafka.versions.get 权限	获取特定架构版本的原始架构。
projects.locations.schemaRegistries.contexts.subjects.versions.list	父级上下文的 managedkafka.versions.list 权限	列出给定主题中的所有架构版本。
projects.locations.schemaRegistries.contexts.subjects.versions.referencedby.list	针对所请求版本的 managedkafka.versions.referencedby 权限	列出给定主题和架构版本所引用的所有架构版本。
projects.locations.schemaRegistries.compatibility.checkCompatibility	managedkafka.versions.checkCompatibility	检查架构与主题的所有版本或特定版本的兼容性。

配置的权限

下表列出了主账号在调用 Managed Service for Apache Kafka 配置资源上的每种方法时必须具备的权限。

方法	所需权限	说明
projects.locations.schemaRegistries.config.get	请求配置上的 managedkafka.config.get 权限	获取特定配置的详细信息。
projects.locations.schemaRegistries.config.update	请求配置上的 managedkafka.config.update 权限	更新配置的详细信息。
projects.locations.schemaRegistries.config.delete	请求配置上的 managedkafka.config.delete 权限	删除配置（只能删除主题级配置）。

模式的权限

下表列出了主账号在调用 Managed Service for Apache Kafka 模式资源中的每种方法时必须具备的权限。

方法	所需权限	说明
projects.locations.schemaRegistries.contexts.mode.get	针对所请求模式的 managedkafka.mode.get 权限	获取特定模式的详细信息。
projects.locations.schemaRegistries.contexts.mode.update	针对所请求模式的 managedkafka.mode.update 权限	更新模式的详细信息。

后续步骤

• 使用 IAM 进行访问权限控制。

• 使用 Kafka ACL 进行访问权限控制。

• IAM 文档。

• 授予、更改和撤消对资源的访问权限。