Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôles d'exécution du service
Note
Amazon MSK Connect ne prend pas en charge l'utilisation du rôle lié au service comme rôle d'exécution du service. Vous devez créer un rôle d'exécution de service distinct. Pour savoir comment créer un rôle IAM personnalisé, consultez la section Création d'un rôle pour déléguer des autorisations à un AWS service dans le Guide de l'utilisateur IAM.
Lorsque vous créez un connecteur avec MSK Connect, vous devez spécifier un rôle AWS Identity and Access Management (IAM) à utiliser avec celui-ci. Votre rôle d'exécution du service doit avoir la politique d'approbation suivante pour que MSK Connect puisse l'assumer. Pour plus d'informations sur les clés de contexte de condition de cette politique, veuillez consulter Prévention du problème de l’adjoint confus entre services.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kafkaconnect.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "Account-ID" }, "ArnLike": { "aws:SourceArn": "MSK-Connector-ARN" } } } ] }
Si le cluster Amazon MSK que vous souhaitez utiliser avec votre connecteur est un cluster qui utilise l'authentification IAM, vous devez ajouter la politique d'autorisation suivante au rôle d'exécution du service du connecteur. Pour plus d'informations sur la façon de trouver l'UUID de votre cluster et sur la façon de construire des ARN de rubrique, consultez Ressources.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster" ], "Resource": [ "cluster-arn" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a sink connector to read from" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:WriteData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a source connector to write to" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:CreateTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "arn:aws:kafka:region:account-id:topic/cluster-name/cluster-uuid/__amazon_msk_connect_*" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/__amazon_msk_connect_*", "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/connect-*" ] } ] }
Selon le type de connecteur, vous devrez peut-être également associer au rôle d'exécution du service une politique d'autorisation lui permettant d'accéder aux AWS ressources. Par exemple, si votre connecteur doit envoyer des données à un compartiment S3, le rôle d'exécution du service doit disposer d'une politique d'autorisations autorisant l'écriture dans ce compartiment. À des fins de test, vous pouvez utiliser l'une des politiques IAM prédéfinies qui offrent un accès complet, comme arn:aws:iam::aws:policy/AmazonS3FullAccess. Toutefois, pour des raisons de sécurité, nous vous recommandons d'utiliser la politique la plus restrictive qui permette à votre connecteur de lire depuis la AWS source ou d'écrire sur le AWS récepteur.
