Usar perfis vinculados ao serviço para o MSK Connect - Amazon Managed Streaming for Apache Kafka

Usar perfis vinculados ao serviço para o MSK Connect

O Amazon MSK Connect usa perfis vinculados a serviço do AWS Identity and Access Management (IAM). Um perfil vinculado a serviço é um tipo especial de perfil do IAM vinculado diretamente ao MSK Connect. Os perfis vinculados a serviço são predefinidos pelo MSK Connect e incluem todas as permissões que o serviço requer para chamar outros produtos da AWS em seu nome.

Um perfil vinculado a serviço facilita a configuração do MSK Connect porque você não precisa adicionar as permissões necessárias manualmente. O MSK Connect define as permissões dos perfis vinculados ao serviço e, exceto se definido de outra forma, somente o MSK Connect pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Permissões de perfil vinculado a serviço para o MSK Connect

O MSK Connect usa o perfil vinculado a serviço chamado AWSServiceRoleForKafkaConnect. Ele permite que o Amazon MSK Connect acesse os recursos da Amazon em seu nome.

O perfil vinculado a serviço AWSServiceRoleForKafkaConnect confia no serviço kafkaconnect.amazonaws.com para assumir o perfil.

Para obter mais informações sobre a política de permissões usada pelo perfil, consulte Política gerenciada pela AWS: KafkaConnectServiceRolePolicy.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criação de um perfil vinculado a serviço para o MSK Connect

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria um conector no AWS Management Console, na AWS CLI ou com a API da AWS, o MSK Connect cria o perfil vinculado a serviço para você.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria um conector, o MSK Connect cria um perfil vinculado a serviço para você novamente.

Edição de um perfil vinculado a serviço para o MSK Connect

O MSK Connect não permite que você edite o perfil vinculado a serviço AWSServiceRoleForKafkaConnect. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Exclusão de um perfil vinculado a serviço para o MSK Connect

É possível usar o console do IAM, a AWS CLI ou a API da AWS para excluir manualmente a função vinculada ao serviço. Para isso, primeiro é necessário excluir manualmente todos os conectores do MSK Connect e excluir o perfil manualmente. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões compatíveis com perfis vinculados a serviço do MSK Connect

O MSK Connect é compatível com perfis vinculados a serviço em todas as regiões nas quais o serviço esteja disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.