本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
服務執行角色
注意
Amazon MSK Connect 不支援使用服務連結角色作為服務執行角色。您必須建立個別的服務執行角色。如需如何建立自訂 IAM 角色的指示,請參閱 IAM 使用者指南中的建立角色以將許可委派給 AWS 服務。
使用 MSK Connect 建立連接器時,您必須指定要與其搭配使用的 AWS Identity and Access Management (IAM) 角色。您的服務執行角色必須具有以下信任政策,MSK Connect 才能擔任該角色。如需有關此政策中條件內容鍵的詳細資訊,請參閱 預防跨服務混淆代理人。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kafkaconnect.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "Account-ID" }, "ArnLike": { "aws:SourceArn": "MSK-Connector-ARN" } } } ] }
如果要與連接器搭配使用的 Amazon MSK 叢集是使用 IAM 身分驗證的叢集,則您必須將以下許可政策新增至連接器的服務執行角色。如需有關如何尋找叢集的 UUID 以及如何建構主題 ARN 的相關資訊,請參閱 資源。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster" ], "Resource": [ "cluster-arn" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a sink connector to read from" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:WriteData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a source connector to write to" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:CreateTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "arn:aws:kafka:region:account-id:topic/cluster-name/cluster-uuid/__amazon_msk_connect_*" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/__amazon_msk_connect_*", "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/connect-*" ] } ] }
視連接器類型而定,您可能還需要將允許其存取 AWS 資源的權限原則附加至服務執行角色。例如,若您的連接器需要將資料傳送至 S3 儲存貯體,則服務執行角色必須具有授予寫入該儲存貯體的許可政策。為了進行測試,您可以使用其中一個預先建立的 IAM 政策 (例如 arn:aws:iam::aws:policy/AmazonS3FullAccess) 來提供完整存取權。但是,為了安全起見,我們建議您使用最嚴格的原則,以允許連接器從 AWS 來源讀取或寫入接 AWS 收器。
