Verstehen Sie die Rolle der Serviceausführung - Amazon Managed Streaming für Apache Kafka

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verstehen Sie die Rolle der Serviceausführung

Anmerkung

Amazon MSK Connect unterstützt nicht die Verwendung der mit dem Service verknüpften Rolle als Serviceausführungsrolle. Sie müssen eine separate Service-Ausführungsrolle erstellen. Anweisungen zum Erstellen einer benutzerdefinierten IAM Rolle finden Sie unter Erstellen einer Rolle zur Delegierung von Berechtigungen für einen AWS Service im IAMBenutzerhandbuch.

Wenn Sie einen Connector mit MSK Connect erstellen, müssen Sie eine AWS Identity and Access Management (IAM) -Rolle angeben, die damit verwendet werden soll. Ihre Dienstausführungsrolle muss über die folgende Vertrauensrichtlinie verfügen, damit MSK Connect sie übernehmen kann. Weitere Informationen zu Bedingungskontextschlüsseln finden Sie unter Vermeiden Sie dienstübergreifende Probleme mit verwirrten Stellvertretern.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kafkaconnect.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "Account-ID" }, "ArnLike": { "aws:SourceArn": "MSK-Connector-ARN" } } } ] }

Wenn es sich bei dem MSK Amazon-Cluster, den Sie mit Ihrem Connector verwenden möchten, um einen Cluster handelt, der IAM Authentifizierung verwendet, müssen Sie der Service-Ausführungsrolle des Connectors die folgende Berechtigungsrichtlinie hinzufügen. Informationen darüber, wie Sie Ihren Cluster finden UUID und wie Sie ein Thema erstellen könnenARNs, finden Sie unterRessourcen für Autorisierungsrichtlinien.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster" ], "Resource": [ "cluster-arn" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a sink connector to read from" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:WriteData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a source connector to write to" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:CreateTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "arn:aws:kafka:region:account-id:topic/cluster-name/cluster-uuid/__amazon_msk_connect_*" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/__amazon_msk_connect_*", "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/connect-*" ] } ] }

Je nach Art des Connectors müssen Sie der Dienstausführungsrolle möglicherweise auch eine Berechtigungsrichtlinie hinzufügen, die ihr den Zugriff auf AWS Ressourcen ermöglicht. Wenn Ihr Konnektor beispielsweise Daten an einen S3-Bucket senden muss, muss die Service-Ausführungsrolle über eine Berechtigungsrichtlinie verfügen, welche die Erlaubnis erteilt, in diesen Bucket zu schreiben. Zu Testzwecken können Sie eine der vorgefertigten IAM Richtlinien verwenden, die vollen Zugriff gewähren, z. arn:aws:iam::aws:policy/AmazonS3FullAccess Aus Sicherheitsgründen empfehlen wir jedoch, die restriktivste Richtlinie zu verwenden, die es Ihrem Connector ermöglicht, von der AWS Quelle zu lesen oder auf die AWS Senke zu schreiben.