Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione delle origini eventi di Amazon MSK per Lambda
Per utilizzare un cluster Amazon MSK come origine di eventi per la tua funzione Lambda, crei [una mappatura delle sorgenti di eventi](invocation-eventsourcemapping.md) che collega le due risorse. Questa pagina descrive come creare una mappatura delle sorgenti degli eventi per Amazon MSK.
Questa pagina presuppone che tu abbia già configurato correttamente il tuo cluster MSK e l'[Amazon Virtual Private Cloud (VPC) in cui risiede](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). Se è necessario configurare il cluster o il VPC, vedere. [Configurazione del cluster Amazon MSK e della rete Amazon VPC per Lambda](with-msk-cluster-network.md) Per configurare il comportamento dei tentativi di ripetizione per la gestione degli errori, consulta. [Configurazione dei controlli di gestione degli errori per le sorgenti di eventi Kafka](kafka-retry-configurations.md)
**Topics**
+ [Utilizzo di un cluster Amazon MSK come origine eventi](#msk-esm-overview)
+ [Configurazione dei metodi di autenticazione del cluster Amazon MSK in Lambda](msk-cluster-auth.md)
+ [Creazione di una mappatura della sorgente di eventi Lambda per un'origine di eventi Amazon MSK](msk-esm-create.md)
+ [Creazione di mappature delle sorgenti degli eventi tra account in Lambda](msk-cross-account.md)
+ [Tutti i parametri di configurazione dell'origine degli eventi Amazon MSK in Lambda](msk-esm-parameters.md)
## Utilizzo di un cluster Amazon MSK come origine eventi
Quando aggiungi il cluster Apache Kafka o Amazon MSK come trigger per la funzione Lambda, il cluster viene utilizzato come [origine eventi](invocation-eventsourcemapping.md).
Lambda legge i dati degli eventi dagli argomenti di Kafka specificati `Topics` in una [CreateEventSourceMapping](https://docs.aws.amazon.com/lambda/latest/api/API_CreateEventSourceMapping.html)richiesta, in base alla posizione [iniziale](kafka-starting-positions.md) specificata. Dopo che l'elaborazione è avvenuta con successo, l'argomento Kafka viene salvato nel cluster Kafka.
Lambda legge i messaggi in sequenza per ogni partizione dell'argomento Kafka. Un singolo payload Lambda può contenere messaggi provenienti da più partizioni. Quando sono disponibili più record, Lambda continua a elaborare i record in batch, in base al BatchSize valore specificato in una [CreateEventSourceMapping](https://docs.aws.amazon.com/lambda/latest/api/API_CreateEventSourceMapping.html)richiesta, finché la funzione non raggiunge l'argomento.
Dopo che Lambda ha elaborato ogni batch, esegue il commit degli offset dei messaggi in quel batch. Se la funzione restituisce un errore per uno qualsiasi dei messaggi di un batch, Lambda ritenta l'intero batch di messaggi fino a quando l'elaborazione non riesce o i messaggi scadono. È possibile inviare i record per i quali tutti i nuovi tentativi falliscono a una destinazione in errore per un'elaborazione successiva.
**Nota**
Anche se le funzioni Lambda generalmente prevedono un timeout massimo di 15 minuti, gli strumenti di mappatura dell'origine degli eventi per Amazon MSK, Apache Kafka autogestito, Amazon DocumentDB e Amazon MQ per ActiveMQ e RabbitMQ supportano solo funzioni con timeout massimi di 14 minuti.
# Configurazione dei metodi di autenticazione del cluster Amazon MSK in Lambda
Lambda necessita dell'autorizzazione per accedere al cluster Amazon MSK, recuperare record ed eseguire altre attività. Amazon MSK supporta diversi metodi per l'autenticazione con il cluster MSK.
**Topics**
+ [Accesso non autenticato](#msk-unauthenticated)
+ [Autenticazione SASL/SCRAM](#msk-sasl-scram)
+ [Autenticazione TLS reciproca](#msk-mtls)
+ [Autenticazione IAM](#msk-iam-auth)
+ [Come Lambda sceglie un broker bootstrap](#msk-bootstrap-brokers)
## Accesso non autenticato
Se nessun client accede al cluster tramite Internet, è possibile utilizzare l'accesso non autenticato.
## Autenticazione SASL/SCRAM
Lambda supporta [l'autenticazione SASL/SCRAM (Simple Authentication and Security Layer/Salted Challenge Response Authentication Mechanism)](https://docs.aws.amazon.com/msk/latest/developerguide/msk-password-tutorial.html), con la funzione hash SHA-512 e la crittografia Transport Layer Security (TLS). Affinché Lambda si connetta al cluster, memorizza le credenziali di autenticazione (nome utente e password) in un segreto di Secrets Manager e fai riferimento a questo segreto durante la configurazione della mappatura dell'origine degli eventi.
Per ulteriori informazioni sull'uso di Secrets Manager, consulta [Autenticazione delle credenziali di accesso con Secrets Manager](https://docs.aws.amazon.com/msk/latest/developerguide/msk-password.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
**Nota**
Amazon MSK non supporta SASL/PLAIN l'autenticazione.
## Autenticazione TLS reciproca
Mutual TLS (mTLS) fornisce l'autenticazione bidirezionale tra il client e il server. Il client invia un certificato al server affinché il server verifichi il client. Il server invia inoltre un certificato al client per consentire al client di verificare il server.
Per le integrazioni Amazon MSK con Lambda, il cluster MSK funge da server e Lambda funge da client.
+ Affinché Lambda verifichi il tuo cluster MSK, configuri un certificato client come segreto in Secrets Manager e fai riferimento a questo certificato nella configurazione di mappatura delle sorgenti degli eventi. Il certificato client deve essere firmato da un'autorità di certificazione (CA) presente nel trust store del server.
+ Il cluster MSK invia anche un certificato server a Lambda. Il certificato del server deve essere firmato da un'autorità di certificazione (CA) nel AWS trust store.
Amazon MSK non supporta certificati server autofirmati. Tutti i broker di Amazon MSK utilizzano [certificati pubblici firmati](https://docs.aws.amazon.com/msk/latest/developerguide/msk-encryption.html) da [Amazon Trust Services CAs](https://www.amazontrust.com/repository/), che Lambda considera affidabili per impostazione predefinita.
### Configurazione del segreto mTLS
Il segreto CLIENT\$1CERTIFICATE\$1TLS\$1AUTH richiede un campo certificato e un campo chiave privata. Per una chiave privata crittografata, il segreto richiede una password per chiave privata. Il certificato e la chiave privata devono essere in formato PEM.
**Nota**
Lambda supporta gli algoritmi di crittografia a chiave privata [PBES1](https://datatracker.ietf.org/doc/html/rfc2898/#section-6.1)(ma non PBES2).
Il campo certificato deve contenere un elenco di certificati, a partire dal certificato client, seguito da qualsiasi certificato intermedio, per finire con il certificato root. Ogni certificato deve iniziare su una nuova riga con la struttura seguente:
```
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
```
Secrets Manager supporta segreti fino a 65.536 byte, che è uno spazio sufficiente per lunghe catene di certificati.
La chiave privata deve essere in formato [PKCS \$18](https://datatracker.ietf.org/doc/html/rfc5208), con la struttura seguente:
```
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
```
Per una chiave privata crittografata, utilizza la struttura seguente:
```
-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----
```
Nell'esempio seguente viene mostrato il contenuto di un segreto per l'autenticazione mTLS utilizzando una chiave privata crittografata. Per una chiave privata crittografata, includi una password per chiave privata nel segreto.
```
{
"privateKeyPassword": "testpassword",
"certificate": "-----BEGIN CERTIFICATE-----
MIIE5DCCAsygAwIBAgIRAPJdwaFaNRrytHBto0j5BA0wDQYJKoZIhvcNAQELBQAw
...
j0Lh4/+1HfgyE2KlmII36dg4IMzNjAFEBZiCRoPimO40s1cRqtFHXoal0QQbIlxk
cmUuiAii9R0=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFgjCCA2qgAwIBAgIQdjNZd6uFf9hbNC5RdfmHrzANBgkqhkiG9w0BAQsFADBb
...
rQoiowbbk5wXCheYSANQIfTZ6weQTgiCHCCbuuMKNVS95FkXm0vqVD/YpXKwA/no
c8PH3PSoAaRwMMgOSA2ALJvbRz8mpg==
-----END CERTIFICATE-----",
"privateKey": "-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUiAFcK5hT/X7Kjmgp
...
QrSekqF+kWzmB6nAfSzgO9IaoAaytLvNgGTckWeUkWn/V0Ck+LdGUXzAC4RxZnoQ
zp2mwJn2NYB7AZ7+imp0azDZb+8YG2aUCiyqb6PnnA==
-----END ENCRYPTED PRIVATE KEY-----"
}
```
Per ulteriori informazioni su MTL per Amazon MSK e istruzioni su come generare un certificato client, consulta l'autenticazione client [Mutual TLS per Amazon MSK nella Amazon Managed Streaming for](https://docs.aws.amazon.com/msk/latest/developerguide/msk-authentication.html) *Apache Kafka* Developer Guide.
## Autenticazione IAM
Puoi utilizzare AWS Identity and Access Management (IAM) per autenticare l'identità dei client che si connettono al cluster MSK. Con l'autenticazione IAM, Lambda si basa sulle autorizzazioni nel [ruolo di esecuzione](lambda-intro-execution-role.md) della funzione per connettersi al cluster, recuperare i record ed eseguire altre azioni necessarie. Per un esempio di policy che contiene le autorizzazioni necessarie, consulta [Create authorization policies for the IAM](https://docs.aws.amazon.com/msk/latest/developerguide/create-iam-access-control-policies.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
Se l'autenticazione IAM è attiva sul tuo cluster MSK e non fornisci un segreto, Lambda utilizza automaticamente l'autenticazione IAM.
Per ulteriori informazioni sull'autenticazione IAM in Amazon MSK, consulta [IAM access control](https://docs.aws.amazon.com/msk/latest/developerguide/iam-access-control.html).
## Come Lambda sceglie un broker bootstrap
Lambda sceglie un [broker bootstrap](https://docs.aws.amazon.com/msk/latest/developerguide/msk-get-bootstrap-brokers.html) in base ai metodi di autenticazione disponibili nel tuo cluster e se fornisci un segreto per l'autenticazione. Se fornisci un segreto per mTLS o SASL/SCRAM, Lambda sceglie automaticamente quel metodo di autenticazione. Se non fornisci un segreto, Lambda seleziona il metodo di autenticazione più forte attivo sul tuo cluster. Di seguito è riportato l'ordine di priorità in cui Lambda seleziona un broker, dall'autenticazione più forte a quella più debole:
+ mTLS (segreto fornito per mTLS)
+ SASL/SCRAM (secret provided for SASL/SCRAM)
+ IAM SASL (nessun segreto fornito e autenticazione IAM attiva)
+ TLS non autenticato (nessun segreto fornito e autenticazione IAM non attiva)
+ Testo semplice (nessun segreto fornito e autenticazione IAM e TLS non autenticato non attivi)
**Nota**
Se Lambda non riesce a connettersi al tipo di broker più sicuro, non proverà a connettersi a un tipo di broker diverso (più debole). Se vuoi che Lambda scelga un tipo di broker più debole, disattiva tutti i metodi di autenticazione più forti sul tuo cluster.
# Creazione di una mappatura della sorgente di eventi Lambda per un'origine di eventi Amazon MSK
[Per creare una mappatura delle sorgenti degli eventi, puoi utilizzare la console Lambda, la [AWS Command Line Interface (CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)) o un SDK.AWS](https://aws.amazon.com/getting-started/tools-sdks/)
**Nota**
Quando crei la mappatura dell'origine degli eventi, Lambda crea [un ENI iperpiano](configuration-vpc.md#configuration-vpc-enis) nella sottorete privata che contiene il cluster MSK, permettendo a Lambda di stabilire una connessione sicura. Questo iperpiano consentito da ENI utilizza la configurazione della sottorete e del gruppo di sicurezza del cluster MSK, non la funzione Lambda.
I seguenti passaggi della console aggiungono un cluster Amazon MSK come trigger per la funzione Lambda. Sotto il cofano, questo crea una risorsa di mappatura delle sorgenti degli eventi.
**Per aggiungere un trigger Amazon MSK alla tua funzione Lambda (console)**
1. Apri la [pagina Funzione](https://console.aws.amazon.com/lambda/home#/functions) della console Lambda.
1. Scegli il nome della funzione Lambda per la quale si desidera aggiungere un trigger Amazon MSK.
1. In **Panoramica delle funzioni**, scegliere **Aggiungi trigger**.
1. **In **Configurazione Trigger**, scegli MSK.**
1. Per specificare i dettagli del cluster Kafka, procedi come segue:
1. Per **MSK cluster (Cluster MSK)** seleziona il cluster.
1. Per **Nome argomento**, inserisci il nome dell'argomento Kafka da cui consumare i messaggi.
1. Per **ID del gruppo di consumatori**, inserisci l'ID di un gruppo di consumatori Kafka a cui aderire, se applicabile. Per ulteriori informazioni, consulta [ID gruppo di consumer personalizzabile](kafka-consumer-group-id.md).
1. Per l'**autenticazione del cluster**, effettua le configurazioni necessarie. Per ulteriori informazioni sull’autenticazione cluster, consulta [Configurazione dei metodi di autenticazione del cluster Amazon MSK in Lambda](msk-cluster-auth.md).
+ Attiva **Usa autenticazione** se desideri che Lambda esegua l'autenticazione con il tuo cluster MSK quando stabilisci una connessione. L'autenticazione è consigliata.
+ Se utilizzi l'autenticazione, per **Metodo di autenticazione**, scegli il metodo di autenticazione da utilizzare.
+ Se utilizzi l'autenticazione, per la chiave **Secrets Manager, scegli la chiave** Secrets Manager che contiene le credenziali di autenticazione necessarie per accedere al tuo cluster.
1. In **Event poller configuration**, effettuate le configurazioni necessarie.
+ Scegli **Attiva trigger** per abilitare il trigger subito dopo la creazione.
+ Scegli se desideri **configurare la modalità provisioning** per la mappatura delle sorgenti degli eventi. Per ulteriori informazioni, consulta [Modalità di ridimensionamento del poller di eventi di Apache Kafka in Lambda](kafka-scaling-modes.md).
+ Se configuri la modalità provisioned, inserisci un valore per **Minimum event poller**, un valore per **Maximum event poller** e un valore opzionale per PollerGroupName specificare il raggruppamento di più eventi ESMs all'interno dello stesso VPC di origine eventi.
+ Per **Posizione iniziale**, scegli come vuoi che Lambda inizi a leggere dal tuo stream. Per ulteriori informazioni, consulta [Sondaggi di Apache Kafka e posizioni iniziali dello streaming in Lambda](kafka-starting-positions.md).
1. In **Batching**, effettua le configurazioni necessarie. Per ulteriori informazioni sulla suddivisione in batch, vedere. [Comportamento di batching](invocation-eventsourcemapping.md#invocation-eventsourcemapping-batching)
1. Per **Batch Size (Dimensione batch)**, immettere il numero massimo di messaggi da recuperare in un singolo batch.
1. Per **Batch window**, inserisci il numero massimo di secondi che Lambda impiega per raccogliere i record prima di richiamare la funzione.
1. In **Filtraggio**, effettua le configurazioni necessarie. Per ulteriori informazioni sul filtro, consulta [Filtraggio eventi da origini eventi Amazon MSK e Apache Kafka autogestito](kafka-filtering.md).
+ Per **i criteri di filtro**, aggiungete le definizioni dei criteri di filtro per determinare se elaborare o meno un evento.
1. In **Gestione degli errori**, effettuate le configurazioni necessarie. Per ulteriori informazioni sulla gestione degli errori, vedere[Acquisizione di batch scartati per un'origine eventi di Amazon MSK e Apache Kafka autogestito](kafka-on-failure.md).
+ Per **Destinazione in caso di errore**, specificare l'ARN della destinazione in caso di errore.
1. Per **Tag**, inserisci i tag da associare a questa mappatura della fonte degli eventi.
1. Per creare il trigger, scegli **Aggiungi**.
È inoltre possibile creare la mappatura della sorgente dell'evento utilizzando la AWS CLI con [ create-event-source-mapping](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/create-event-source-mapping.html)il comando. L'esempio seguente crea una mappatura dell'origine degli eventi per mappare la `my-msk-function` funzione Lambda `AWSKafkaTopic` all'argomento, a partire dal `LATEST` messaggio. Questo comando utilizza inoltre l'[SourceAccessConfiguration](https://docs.aws.amazon.com/lambda/latest/api/API_SourceAccessConfiguration.html)oggetto per indicare a Lambda di [utilizzare l'](msk-cluster-auth.md#msk-sasl-scram)autenticazione SASL/SCRAM durante la connessione al cluster.
```
aws lambda create-event-source-mapping \
--event-source-arn arn:aws:kafka:us-east-1:111122223333:cluster/my-cluster/fc2f5bdf-fd1b-45ad-85dd-15b4a5a6247e-2 \
--topics AWSKafkaTopic \
--starting-position LATEST \
--function-name my-kafka-function
--source-access-configurations '[{"Type": "SASL_SCRAM_512_AUTH","URI": "arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret"}]'
```
Se il cluster utilizza l'[autenticazione MTLS](msk-cluster-auth.md#msk-mtls), includi un [SourceAccessConfiguration](https://docs.aws.amazon.com/lambda/latest/api/API_SourceAccessConfiguration.html)oggetto che specifica `CLIENT_CERTIFICATE_TLS_AUTH` e una chiave ARN di Secrets Manager. Questo è mostrato nel seguente comando:
```
aws lambda create-event-source-mapping \
--event-source-arn arn:aws:kafka:us-east-1:111122223333:cluster/my-cluster/fc2f5bdf-fd1b-45ad-85dd-15b4a5a6247e-2 \
--topics AWSKafkaTopic \
--starting-position LATEST \
--function-name my-kafka-function
--source-access-configurations '[{"Type": "CLIENT_CERTIFICATE_TLS_AUTH","URI": "arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret"}]'
```
Quando il cluster utilizza [l'autenticazione IAM](msk-cluster-auth.md#msk-iam-auth), non è necessario un [ SourceAccessConfiguration](https://docs.aws.amazon.com/lambda/latest/api/API_SourceAccessConfiguration.html)oggetto. Questo è mostrato nel seguente comando:
```
aws lambda create-event-source-mapping \
--event-source-arn arn:aws:kafka:us-east-1:111122223333:cluster/my-cluster/fc2f5bdf-fd1b-45ad-85dd-15b4a5a6247e-2 \
--topics AWSKafkaTopic \
--starting-position LATEST \
--function-name my-kafka-function
```
# Creazione di mappature delle sorgenti degli eventi tra account in Lambda
È possibile utilizzare la [connettività privata multi-VPC](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access-mult-vpc.html) per connettere una funzione Lambda a un cluster MSK assegnato in un altro Account AWS. Utilizza la connettività multi-VPC AWS PrivateLink, che mantiene tutto il traffico all'interno della AWS rete.
**Nota**
Non è possibile creare strumenti di mappatura dell'origine degli eventi multi-account per i cluster MSK serverless.
Per creare uno strumento di mappatura dell'origine degli eventi multi-account, è necessario innanzitutto [configurare la connettività multi-VPC per il cluster MSK](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access-mult-vpc.html#mvpc-cluster-owner-action-turn-on). Quando crei lo strumento di mappatura dell'origine degli eventi, utilizza l'ARN della connessione VPC gestita anziché l'ARN del cluster, come illustrato negli esempi seguenti. L'[CreateEventSourceMapping](https://docs.aws.amazon.com/lambda/latest/api/API_CreateEventSourceMapping.html)operazione varia anche a seconda del tipo di autenticazione utilizzato dal cluster MSK.
**Example — Creazione di uno strumento di mappatura dell'origine degli eventi multi-account per cluster che utilizzano l'autenticazione IAM**
Quando il cluster utilizza l'[autenticazione basata sui ruoli IAM](msk-cluster-auth.md#msk-iam-auth), non è necessario un oggetto. [SourceAccessConfiguration](https://docs.aws.amazon.com/lambda/latest/api/API_SourceAccessConfiguration.html) Esempio:
```
aws lambda create-event-source-mapping \
--event-source-arn arn:aws:kafka:us-east-1:111122223333:vpc-connection/444455556666/my-cluster-name/51jn98b4-0a61-46cc-b0a6-61g9a3d797d5-7 \
--topics AWSKafkaTopic \
--starting-position LATEST \
--function-name my-kafka-function
```
**Example — Crea una mappatura delle sorgenti degli eventi tra account per un cluster che utilizza l'autenticazione SASL/SCRAM**
Se il cluster utilizza l'[autenticazione SASL/SCRAM](msk-cluster-auth.md#msk-sasl-scram), è necessario includere un [SourceAccessConfiguration](https://docs.aws.amazon.com/lambda/latest/api/API_SourceAccessConfiguration.html)oggetto che specifica e un ARN segreto di `SASL_SCRAM_512_AUTH` Secrets Manager.
Esistono due modi per utilizzare i segreti per le mappature delle sorgenti di eventi Amazon MSK tra account diversi con autenticazione: SASL/SCRAM
+ Crea un segreto nell'account della funzione Lambda e sincronizzalo con il segreto del cluster. [Crea una rotazione](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) per mantenere sincronizzati i due segreti. Questa opzione consente di controllare il segreto dall'account della funzione.
+ Utilizza il segreto associato al cluster MSK. Questo segreto deve consentire l'accesso multi-account all'account della funzione Lambda. Per ulteriori informazioni, consulta la pagina [Permissions to Gestione dei segreti AWS secrets for users in a different account](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html).
```
aws lambda create-event-source-mapping \
--event-source-arn arn:aws:kafka:us-east-1:111122223333:vpc-connection/444455556666/my-cluster-name/51jn98b4-0a61-46cc-b0a6-61g9a3d797d5-7 \
--topics AWSKafkaTopic \
--starting-position LATEST \
--function-name my-kafka-function \
--source-access-configurations '[{"Type": "SASL_SCRAM_512_AUTH","URI": "arn:aws:secretsmanager:us-east-1:444455556666:secret:my-secret"}]'
```
**Example — Creazione di uno strumento di mappatura dell'origine degli eventi multi-account per cluster che utilizzano l'autenticazione mTLS**
Se il cluster utilizza l'[autenticazione MTLS](msk-cluster-auth.md#msk-mtls), è necessario includere un [SourceAccessConfiguration](https://docs.aws.amazon.com/lambda/latest/api/API_SourceAccessConfiguration.html)oggetto che specifica `CLIENT_CERTIFICATE_TLS_AUTH` e un ARN segreto di Secrets Manager. Il segreto può essere archiviato nell'account del cluster o nell'account della funzione Lambda.
```
aws lambda create-event-source-mapping \
--event-source-arn arn:aws:kafka:us-east-1:111122223333:vpc-connection/444455556666/my-cluster-name/51jn98b4-0a61-46cc-b0a6-61g9a3d797d5-7 \
--topics AWSKafkaTopic \
--starting-position LATEST \
--function-name my-kafka-function \
--source-access-configurations '[{"Type": "CLIENT_CERTIFICATE_TLS_AUTH","URI": "arn:aws:secretsmanager:us-east-1:444455556666:secret:my-secret"}]'
```
# Tutti i parametri di configurazione dell'origine degli eventi Amazon MSK in Lambda
Tutti i tipi di sorgenti di eventi Lambda condividono le stesse operazioni [CreateEventSourceMapping](https://docs.aws.amazon.com/lambda/latest/api/API_CreateEventSourceMapping.html)e quelle dell'[UpdateEventSourceMapping](https://docs.aws.amazon.com/lambda/latest/api/API_UpdateEventSourceMapping.html)API. Tuttavia, solo alcuni parametri si applicano ad Amazon MSK, come illustrato nella tabella seguente.
| Parametro | Obbligatorio | Predefinito | Note |
| --- | --- | --- | --- |
| AmazonManagedKafkaEventSourceConfig | N | Contiene il ConsumerGroupId campo, che per impostazione predefinita è un valore univoco. | Può essere impostato solo su Create |
| BatchSize | N | 100 | Massimo: 10.000. |
| DestinationConfig | N | N/D | [Acquisizione di batch scartati per un'origine eventi di Amazon MSK e Apache Kafka autogestito](kafka-on-failure.md) |
| Abilitato | N | True | |
| BisectBatchOnFunctionError | N | False | [Configurazione dei controlli di gestione degli errori per le sorgenti di eventi Kafka](kafka-retry-configurations.md) |
| FunctionResponseTypes | N | N/D | [Configurazione dei controlli di gestione degli errori per le sorgenti di eventi Kafka](kafka-retry-configurations.md) |
| MaximumRecordAgeInSeconds | N | -1 (infinito) | [Configurazione dei controlli di gestione degli errori per le sorgenti di eventi Kafka](kafka-retry-configurations.md) |
| MaximumRetryAttempts | N | -1 (infinito) | [Configurazione dei controlli di gestione degli errori per le sorgenti di eventi Kafka](kafka-retry-configurations.md) |
| EventSourceArn | Y | N/D | Può essere impostato solo su Create |
| FilterCriteria | N | N/D | [Controllare gli eventi che Lambda invia alla funzione](invocation-eventfiltering.md) |
| FunctionName | Y | N/D | |
| KMSKeyBraccio | N | N/D | [Crittografia dei criteri di filtro](invocation-eventfiltering.md#filter-criteria-encryption) |
| MaximumBatchingWindowInSeconds | N | 500 ms | [Comportamento di batching](invocation-eventsourcemapping.md#invocation-eventsourcemapping-batching) |
| ProvisionedPollersConfig | N | `MinimumPollers`: se non specificato, il valore predefinito è 1 `MaximumPollers`: se non specificato, il valore predefinito è 200 `PollerGroupName`: N/A | [Modalità provisioning](kafka-scaling-modes.md#kafka-provisioned-mode) |
| SourceAccessConfigurations | N | Nessuna credenziale | Credenziali di autenticazione SASL/SCRAM o CLIENT\$1CERTIFICATE\$1TLS\$1AUTH (MutualTLS) per la tua origine eventi |
| StartingPosition | Y | N/D | AT\$1TIMESTAMP, TRIM\$1HORIZON o LATEST Può essere impostato solo su Create |
| StartingPositionTimestamp | N | N/D | Obbligatorio se StartingPosition è impostato su AT\$1TIMESTAMP |
| Tag | N | N/D | [Utilizzo di tag negli strumenti di mappatura dell'origine degli eventi](tags-esm.md) |
| Argomenti | Y | N/D | Nome argomento Kafka Può essere impostato solo su Create |
**Nota**
Quando si specifica una`PollerGroupName`, più unità ESMs all'interno dello stesso Amazon VPC possono condividere la capacità dell'Event Poller Unit (EPU). Puoi utilizzare questa opzione per ottimizzare i costi della modalità Provisioned per i tuoi. ESMs Requisiti per il raggruppamento ESM:
ESMs deve trovarsi all'interno dello stesso Amazon VPC
Massimo 100 ESMs per gruppo di sondaggi
Il numero massimo aggregato di sondaggi di tutti ESMs i membri di un gruppo non può superare i 2000
È possibile aggiornare il file `PollerGroupName` per spostare un ESM in un gruppo diverso oppure rimuovere un ESM da un gruppo `PollerGroupName` impostandolo su una stringa vuota («»).