Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprendi il ruolo di esecuzione del servizio
Nota
Amazon MSK Connect non supporta l'utilizzo del ruolo Service-linked come ruolo di esecuzione del servizio. È necessario creare un ruolo di esecuzione del servizio separato. Per istruzioni su come creare un IAM ruolo personalizzato, consulta Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'utente. IAM
Quando create un connettore con MSK Connect, vi viene richiesto di specificare un ruolo AWS Identity and Access Management (IAM) da utilizzare con esso. Il ruolo di esecuzione del servizio deve avere la seguente politica di attendibilità in modo che MSK Connect possa assumerla. Per ulteriori informazioni sulle chiavi di contesto delle condizioni in questa policy, consulta la pagina Prevenire il problema della confusione tra i vari servizi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kafkaconnect.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "Account-ID" }, "ArnLike": { "aws:SourceArn": "MSK-Connector-ARN" } } } ] }
Se il MSK cluster Amazon che desideri utilizzare con il tuo connettore è un cluster che utilizza IAM l'autenticazione, devi aggiungere la seguente politica di autorizzazioni al ruolo di esecuzione del servizio del connettore. Per informazioni su come trovare i cluster UUID e su come costruirliARNs, consulta l'argomento. Risorse relative alla politica di autorizzazione
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster" ], "Resource": [ "cluster-arn" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a sink connector to read from" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:WriteData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a source connector to write to" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:CreateTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "arn:aws:kafka:region:account-id:topic/cluster-name/cluster-uuid/__amazon_msk_connect_*" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/__amazon_msk_connect_*", "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/connect-*" ] } ] }
A seconda del tipo di connettore, potrebbe anche essere necessario associare al ruolo di esecuzione del servizio una politica di autorizzazioni che gli consenta di accedere AWS alle risorse. Ad esempio, se il connettore deve inviare dati a un bucket S3, il ruolo di esecuzione del servizio deve disporre di una policy di autorizzazione che conceda l'autorizzazione alla scrittura su quel bucket. A scopo di test, puoi utilizzare una delle IAM politiche predefinite che forniscono l'accesso completo, ad esempio. arn:aws:iam::aws:policy/AmazonS3FullAccess Tuttavia, per motivi di sicurezza, ti consigliamo di utilizzare la politica più restrittiva che consenta al connettore di leggere dalla AWS fonte o scrivere nel AWS sink.
