本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 MSK Connect 所需的資源
<a name="mkc-tutorial-setup"></a>

在此步驟中，您需要建立以下此開始使用案例中所需的資源：
+ Amazon S3 儲存貯體，做為從連接器接收資料的目的地。
+ MSK 叢集，作為接收傳送資料的目的地。接著，連接器會從此叢集讀取資料，並將其傳送至目的地 S3 儲存貯體。
+ IAM 政策，其中包含寫入目的地 S3 儲存貯體的許可。
+ IAM 角色，允許連接器寫入目的地 S3 儲存貯體。您將新增您建立的 IAM 政策至此角色。
+ Amazon VPC 端點，讓您可從具有叢集和連接器的 Amazon VPC 將資料傳送至 Amazon S3。

**建立 S3 儲存貯體**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)：// 開啟 Amazon S3 主控台。

1. 選擇**建立儲存貯體**。

1. 請為儲存貯體名稱輸入描述性名稱，例如 `amzn-s3-demo-bucket-mkc-tutorial`。

1. 向下捲動並選擇**建立儲存貯體**。

1. 在儲存貯體清單中，選擇您新建立的儲存貯體。

1. 選擇 **Create folder** (建立資料夾)。

1. 輸入 `tutorial` 作為資料夾名稱，然後向下捲動並選擇**建立資料夾**。

**建立叢集**

1. 開啟 Amazon MSK 主控台，網址為 [https://console.aws.amazon.com/msk/home?region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/)。

1. 在左窗格的 **MSK 叢集**下，選擇**叢集**。

1. 選擇 **Create Cluster** (建立叢集)。

1. 在**建立方法**中，選擇**自訂建立**。

1. 針對叢集名稱，請輸入 **mkc-tutorial-cluster**。

1. 在**叢集類型**中，選擇**佈建**。

1. 選擇**下一步**。

1. 在**聯網**下，請選擇 Amazon VPC。然後請選取您要使用的可用區域和子網路。請記住您選取的 Amazon VPC 和子網路的 ID，因為稍後在本教學課程中您將需要這些 ID。

1. 選擇**下一步**。

1. 在**存取控制方法**下，請確認僅選取**未身分驗證的存取**。

1. 在**加密**下，請確認僅選取**純文字**。

1. 繼續執行精靈，然後選擇**建立叢集**。這會帶您前往叢集的詳細資訊頁面。在該頁面的**已套用的安全群組**下，找到安全群組 ID。記住該 ID，因為稍後在本教學可課程中您將需要該 ID。

**建立具有寫入 S3 儲存貯體許可的 IAM 政策**

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**政策**。

1. 選擇**建立政策**。

1. 在**政策編輯器**中，選擇 **JSON**，然後使用下列 JSON 取代編輯器視窗中的 JSON。

   在下列範例中，將 *<amzn-s3-demo-bucket-my-tutorial>* 取代為 S3 儲存貯體的名稱。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "AllowListBucket",
         "Effect": "Allow",
         "Action": [
           "s3:ListBucket",
           "s3:GetBucketLocation"
         ],
         "Resource": "arn:aws:s3:::<amzn-s3-demo-bucket-my-tutorial>"
       },
       {
         "Sid": "AllowObjectActions",
         "Effect": "Allow",
         "Action": [
           "s3:PutObject",
           "s3:GetObject",
           "s3:DeleteObject",
           "s3:AbortMultipartUpload",
           "s3:ListMultipartUploadParts",
           "s3:ListBucketMultipartUploads"
         ],
         "Resource": "arn:aws:s3:::<amzn-s3-demo-bucket-my-tutorial>/*"
       }
     ]
   }
   ```

------

   如需如何撰寫安全政策的說明，請參閱 [IAM 存取控制](iam-access-control.md)。

1. 選擇**下一步**。

1. 在**檢閱和建立**頁面，執行以下作業：

   1. 針對**政策名稱**，輸入描述性名稱，例如 **mkc-tutorial-policy**。

   1. 在此**政策中定義的許可**中，檢閱和/或編輯政策中定義的許可。

   1. （選用） 若要協助識別、組織或搜尋政策，請選擇**新增標籤**，將標籤新增為鍵/值對。例如，使用 **Environment**和 的鍵值對將標籤新增至您的政策**Test**。

      如需使用標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 資源的標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。

1. 選擇**建立政策**。

**建立可寫入目的地儲存貯體的IAM 角色**

1. 在 IAM 主控台的導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 在 **Select trusted entity** (選取信任的實體) 頁面上，執行以下作業：

   1. 對於 **Trusted entity type** (信任的實體類型)，請選擇 **AWS 服務**。

   1. 針對**服務或使用案例**，選擇 **S3**。

   1. 在**使用案例中**，選擇 **S3**。

1. 選擇**下一步**。

1. 在 **Add permissions** (新增許可) 頁面上，執行以下作業：

   1. 在**許可政策**下的搜尋方塊中，輸入您先前為此教學課程建立的政策名稱。例如，**mkc-tutorial-policy**。然後，選擇政策名稱左側的方塊。

   1. (選用) 設定[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。這是進階功能，可用於服務角色，而不是服務連結的角色。如需有關設定許可界限的資訊，請參閱《*IAM 使用者指南*》中的[建立角色和連接政策 （主控台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions_create-policies.html)。

1. 選擇**下一步**。

1. 在 **Name, review, and create** (命名、檢閱和建立) 頁面上，執行以下作業：

   1. 針對**角色名稱**，輸入描述性名稱，例如 **mkc-tutorial-role**。
**重要**  
當您命名角色時，請注意下列事項：  
角色名稱在您的 中必須是唯一的 AWS 帳戶，而且無法依大小寫設為唯一。  
例如，不要同時建立名為 **PRODROLE** 和 **prodrole** 的角色。當角色名稱用於政策或 ARN 的一部分時，角色名稱會區分大小寫，但是當角色名稱在主控台中顯示給客戶時，例如在登入過程中，角色名稱不會區分大小寫。
因為其他實體可能會參考角色，所以在建立角色之後，就無法編輯其名稱。

   1. (選用) 在**說明**中，輸入角色的說明。

   1. （選用） 若要編輯角色的使用案例和許可，請在**步驟 1：選取信任的實體**或**步驟 2：新增許可**區段中，選擇**編輯**。

   1. （選用） 若要協助識別、組織或搜尋角色，請選擇**新增標籤**，將標籤新增為鍵/值對。例如，使用 **ProductManager**和 的鍵值對將標籤新增至您的角色**John**。

      如需使用標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 資源的標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。

1. 檢閱角色，然後選擇 **Create role** (建立角色)。

**允許 MSK Connect 擔任該角色**

1. 在 IAM 主控台中，於左窗格的**存取管理**下，選擇**角色**。

1. 找到 `mkc-tutorial-role` 並選擇。

1. 在該角色的**摘要**下，選擇**信任關係**索引標籤。

1. 選擇**編輯信任關係**。

1. 使用以下 JSON 來取代現有信任政策。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "kafkaconnect.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. 選擇 **Update Trust Policy** (更新信任政策)。

**建立從叢集的 VPC 到 Amazon S3 的 Amazon VPC 端點**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在左側窗格中選擇**端點**。

1. 選擇**建立端點**。

1. 在**服務名稱**下，選擇 **com.amazonaws.us-east-1.s3** 服務和**閘道**類型。

1. 選擇叢集的 VPC，然後選取與叢集子網路相關聯之路由表左側的方塊。

1. 選擇**建立端點**。

**後續步驟**

[建立自訂外掛程式](mkc-create-plugin.md)