Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Dienstausführungsrolle (SER)
MSK Replicator verwendet eine Service Execution Role (SER), um aus Ihrem Quellcluster zu lesen und in Ihren Zielcluster zu schreiben. Sie geben diese Rolle bei der Erstellung des Replicators an.
Sie können entweder die MSK-Konsole die Rolle automatisch erstellen lassen oder Ihre eigene IAM-Rolle angeben. Wenn Sie Ihre eigene Rolle angeben, empfehlen wir, ihr die AWSMSKReplicatorExecutionRoleverwaltete IAM-Richtlinie beizufügen.
Die Dienstausführungsrolle muss über eine Vertrauensrichtlinie verfügen, die es dem kafka.amazonaws.com Dienstprinzipal ermöglicht, die Rolle zu übernehmen. Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie. <yourAccountID>Ersetzen Sie es durch Ihre tatsächliche Konto-ID.
{ "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kafka.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<yourAccountID>" } } } ] }
Informationen zum Einschränken von kafka-cluster:WriteData Berechtigungen finden Sie im Abschnitt Autorisierungsrichtlinien erstellen unter So funktioniert die IAM-Zugriffskontrolle für Amazon MSK. Sie müssen sowohl dem Quell- als auch dem Zielcluster kafka-cluster:WriteDataIdempotently Berechtigungen hinzufügen.
Wenn Sie eine Dienstausführungsrolle zwischen mehreren MSK Replicators wiederverwenden, unterliegen alle denselben Kafka-Kontingenten. Wenn Sie separate Kontingente pro Replikator beibehalten möchten, verwenden Sie separate Service-Ausführungsrollen.
