サービス実行ロールを理解する - Amazon Managed Streaming for Apache Kafka

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービス実行ロールを理解する

注記

Amazon MSK Connect は、サービスにリンクされたロールをサービス実行ロールとして使用することはできません。サービス実行ロールは別途作成する必要があります。カスタムIAMロールを作成する方法については、 IAM ユーザーガイドAWS 「 サービスにアクセス許可を委任するロールの作成」を参照してください。

MSK Connect でコネクタを作成するときは、それで使用する (IAM) ロールを指定 AWS Identity and Access Management する必要があります。MSK Connect がサービス実行ロールを引き受けられるように、サービス実行ロールには次の信頼ポリシーが必要です。このポリシーの条件コンテキストキーの詳細については、「サービス間の混乱した代理問題の防止」を参照してください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "kafkaconnect.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "Account-ID"
        },
        "ArnLike": {
          "aws:SourceArn": "MSK-Connector-ARN"
        }
      }
    }   
  ]
}

コネクタで使用する Amazon MSKクラスターがIAM認証を使用するクラスターである場合は、コネクタのサービス実行ロールに次のアクセス許可ポリシーを追加する必要があります。クラスターの を検索する方法UUIDとトピック を構築する方法についてはARNs、「」を参照してください認証ポリシーリソース

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kafka-cluster:Connect",
                "kafka-cluster:DescribeCluster"
            ],
            "Resource": [
                "cluster-arn"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafka-cluster:ReadData",
                "kafka-cluster:DescribeTopic"
            ],
            "Resource": [
                "ARN of the topic that you want a sink connector to read from"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafka-cluster:WriteData",
                "kafka-cluster:DescribeTopic"
            ],
            "Resource": [
                "ARN of the topic that you want a source connector to write to"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafka-cluster:CreateTopic",
                "kafka-cluster:WriteData",
                "kafka-cluster:ReadData",
                "kafka-cluster:DescribeTopic"
            ],
            "Resource": [
                "arn:aws:kafka:region:account-id:topic/cluster-name/cluster-uuid/__amazon_msk_connect_*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafka-cluster:AlterGroup",
                "kafka-cluster:DescribeGroup"
            ],
            "Resource": [
                "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/__amazon_msk_connect_*",
                "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/connect-*"
            ]
        }
    ]
}

コネクタの種類によっては、 AWS リソースへのアクセスを許可するアクセス許可ポリシーをサービス実行ロールにアタッチする必要が生じる場合もあります。例えば、コネクタが S3 バケットにデータを送信する必要がある場合、サービス実行ロールには、そのバケットへの書き込み許可を付与する許可ポリシーが必要です。テストの目的で、 など、フルアクセスを提供する構築済みのIAMポリシーのいずれかを使用できますarn:aws:iam::aws:policy/AmazonS3FullAccess。ただし、セキュリティ上の理由から、コネクタが AWS ソースから読み取るか、 AWS シンクに書き込むことができる最も制限の厳しいポリシーを使用することをお勧めします。