翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # ステップ 2: Amazon MSK クラスターでトピックを作成するためのアクセス権を付与する IAM ロールを作成する このステップでは、2 つのタスクを実行します。最初のタスクは、クラスターでトピックを作成し、それらのトピックにデータを送信するためのアクセスを許可する IAM ポリシーを作成することです。2 番目のタスクは、IAM ロールを作成し、作成したポリシーをそのロールに関連付けることです。後のステップでは、このロールを引き受けるクライアントマシンを作成し、それを使用してクラスター上にトピックを作成し、そのトピックにデータを送信します。 **トピックを作成し、書き込むことを可能にする IAM ポリシーを作成する**IAM ポリシーを作成する 1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。 1. ナビゲーションペインで [**Policies**] (ポリシー) を選択します。 1. [**Create policy**] (ポリシーの作成) を選択します。 1. **ポリシーエディター**で、**JSON** タブを選択し、エディタウィンドウの JSON を次の JSON に置き換えます。 以下の例では、以下を置き換えます。 + *region* と、クラスターを作成した AWS リージョン のコード。 + アカウント ID の例: *123456789012*。 AWS アカウント + *MSKTutorialCluster* および *MSKTutorialCluster*/*7d7131e1-25c5-4e9a-9ac5-ea85bee4da11-14* を、あなたのクラスターの名前とその ID に置き換えます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeCluster" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:cluster/MSKTutorialCluster/7d7131e1-25c5-4e9a-9ac5-ea85bee4da11-14" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:*Topic*", "kafka-cluster:WriteData", "kafka-cluster:ReadData" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:topic/MSKTutorialCluster/*" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:group/MSKTutorialCluster/*" ] } ] } ``` ------ 安全なポリシーの記述方法については、「[IAM アクセスコントロール](iam-access-control.md)」を参照してください。 1. [**次へ**] を選択します。 1. **[レビューと作成]** ページで、以下の操作を実行します。 1. **ポリシー名**にわかりやすい名前 (**msk-tutorial-policy** など) を入力します。 1. **このポリシーで定義されているアクセス許可**で、ポリシーで定義されたアクセス許可を確認および/または編集します。 1. (オプション) ポリシーの識別、整理、検索を簡単にするには、キーと値のペアとして**新規タグを追加**します。たとえば、**Environment** と **Test** のキーと値のペアを使用してポリシーにタグを追加します。 タグの使用の詳細については、*IAM ユーザーガイド*の[「 AWS Identity and Access Management リソースのタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。 1. [**Create policy**] (ポリシーの作成) を選択します。 **IAM ロールを作成し、ポリシーを適用する** 1. ナビゲーションペインで **ロール**を選択してから、**ロールを作成する**を選択します。 1. **[信頼されたエンティティを選択]** ページで、以下の操作を実行してください。 1. **信頼できるエンティティタイプ** で、**AWS のサービス** を選択します。 1. [**サービスまたはユースケース**]で、[**EC2**]を選択します。 1. **[ユースケース]** で、**[EC2]** を選択してください。 1. [**次へ**] を選択します。 1. **[アクセス許可を追加]** ページで、以下を実行します。 1. **権限ポリシー**の下にある検索ボックスに、このチュートリアル用に以前に作成したポリシーの名前を入力します。次に、ポリシー名の左側にある、チェックボックスを選択してください。 1. (オプション) [アクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。アクセス許可の境界の設定については、*IAM ユーザーガイド*の「[ロールの作成とポリシーのアタッチ (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions_create-policies.html)」を参照してください。 1. [**次へ**] を選択します。 1. **[名前を付けて、レビューし、作成する]** ページで、以下の操作を実行します。 1. **ロール名**に、わかりやすい名前 (**msk-tutorial-role** など) を入力します。 **重要** ロールに名前を付けるときは、次のことに注意してください。 ロール名は 内で一意である必要があり AWS アカウント、大文字と小文字を区別することはできません。 例えば、**PRODROLE** と **prodrole** の両方の名前でロールを作成することはできません。ロール名がポリシーまたは ARN の一部として使用される場合、ロール名は大文字と小文字が区別されます。ただし、サインインプロセスなど、コンソールにロール名がユーザーに表示される場合、ロール名は大文字と小文字が区別されません。 他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。 1. (オプション) **[説明]** にロールの説明を入力します。 1. (オプション) ロールの使用事例とアクセス許可を編集するには、[**ステップ 1: 信頼されたエンティティを選択**] または [**ステップ 2: アクセス権限を追加**] のセクションで [**編集**] を選択します。 1. (オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとして**新規タグを追加**します。たとえば、**ProductManager** と **John** のキーと値のペアを使用してロールにタグを追加します。 タグの使用の詳細については、*IAM ユーザーガイド*の[「 AWS Identity and Access Management リソースのタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。 1. ロールを確認したら、**[ロールを作成]** を選択します。 **次のステップ** [ステップ 3: クライアントマシンを作成する](create-client-machine.md)