Memahami peran eksekusi layanan - Amazon Managed Streaming untuk Apache Kafka

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami peran eksekusi layanan

catatan

Amazon MSK Connect tidak mendukung penggunaan peran terkait Layanan sebagai peran eksekusi layanan. Anda harus membuat peran eksekusi layanan terpisah. Untuk petunjuk tentang cara membuat IAM peran kustom, lihat Membuat peran untuk mendelegasikan izin ke AWS layanan di IAMPanduan Pengguna.

Saat membuat konektor dengan MSK Connect, Anda harus menentukan peran AWS Identity and Access Management (IAM) yang akan digunakan dengannya. Peran eksekusi layanan Anda harus memiliki kebijakan kepercayaan berikut sehingga MSK Connect dapat menerapkannya. Untuk informasi tentang kunci konteks kondisi dalam kebijakan ini, lihatMencegah masalah wakil lintas layanan yang membingungkan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kafkaconnect.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "Account-ID" }, "ArnLike": { "aws:SourceArn": "MSK-Connector-ARN" } } } ] }

Jika MSK klaster Amazon yang ingin Anda gunakan dengan konektor adalah klaster yang menggunakan IAM autentikasi, Anda harus menambahkan kebijakan izin berikut ke peran eksekusi layanan konektor. Untuk informasi tentang cara menemukan klaster Anda UUID dan cara membuat topikARNs, lihatSumber daya kebijakan otorisasi.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster" ], "Resource": [ "cluster-arn" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a sink connector to read from" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:WriteData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a source connector to write to" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:CreateTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "arn:aws:kafka:region:account-id:topic/cluster-name/cluster-uuid/__amazon_msk_connect_*" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/__amazon_msk_connect_*", "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/connect-*" ] } ] }

Bergantung pada jenis konektornya, Anda mungkin juga perlu melampirkan kebijakan izin ke peran eksekusi layanan yang memungkinkannya mengakses AWS sumber daya. Misalnya, jika konektor Anda perlu mengirim data ke bucket S3, maka peran eksekusi layanan harus memiliki kebijakan izin yang memberikan izin untuk menulis ke bucket tersebut. Untuk tujuan pengujian, Anda dapat menggunakan salah satu IAM kebijakan pra-bangun yang memberikan akses penuh, sepertiarn:aws:iam::aws:policy/AmazonS3FullAccess. Namun, untuk tujuan keamanan, kami menyarankan Anda menggunakan kebijakan paling ketat yang memungkinkan konektor Anda membaca dari AWS sumber atau menulis ke AWS wastafel.