Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôle d'exécution du service (SER)
MSK Replicator utilise un rôle d'exécution de service (SER) pour lire depuis votre cluster source et écrire sur votre cluster cible. Vous spécifiez ce rôle lors de la création du réplicateur.
Vous pouvez soit laisser la console MSK créer le rôle automatiquement, soit fournir votre propre rôle IAM. Si vous indiquez votre propre rôle, nous vous recommandons d'y associer la politique IAM AWSMSKReplicatorExecutionRolegérée.
Le rôle d'exécution du service doit avoir une politique de confiance qui autorise le principal du kafka.amazonaws.com service à assumer ce rôle. Voici un exemple de politique de confiance. <yourAccountID>Remplacez-le par votre numéro de compte actuel.
{ "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kafka.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<yourAccountID>" } } } ] }
Si vous souhaitez restreindre les kafka-cluster:WriteData autorisations, reportez-vous à la section Créer des politiques d'autorisation de Comment fonctionne le contrôle d'accès IAM pour Amazon MSK. Vous devez ajouter une kafka-cluster:WriteDataIdempotently autorisation au cluster source et au cluster cible.
Si vous réutilisez un rôle d'exécution de service entre plusieurs réplicateurs MSK, ils sont tous soumis aux mêmes quotas Kafka. Si vous souhaitez conserver des quotas distincts par réplicateur, utilisez des rôles d'exécution de service distincts.
