Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruolo di esecuzione del servizio
Nota
Amazon MSK Connect non supporta l'utilizzo diRuolo collegato al serviziocome ruolo di esecuzione del servizio. È necessario creare un ruolo di esecuzione del servizio separato. Per istruzioni su come creare un ruolo IAM personalizzato, consultaCreare un ruolo per delegare le autorizzazioni a unAWSservizionelGuida per l'utente IAM.
Quando si crea un connettore con MSK Connect, è necessario specificare unAWS Identity and Access Managementruolo (IAM) da utilizzare con esso. Il ruolo di esecuzione del servizio deve avere la seguente politica di affidabilità affinché MSK Connect possa assumerla. Per informazioni sulle chiavi del contesto delle condizioni in questa politica, vederePrevenzione del confused deputy tra servizi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kafkaconnect.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "Account-ID" }, "ArnLike": { "aws:SourceArn": "MSK-Connector-ARN" } } } ] }
Se il cluster Amazon MSK che desideri utilizzare con il tuo connettore è un cluster che utilizza l'autenticazione IAM, devi aggiungere la seguente politica di autorizzazioni al ruolo di esecuzione del servizio del connettore. Per informazioni su come trovare l'UUID del cluster e su come costruire gli ARN degli argomenti, vediRisorse.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:DescribeCluster" ], "Resource": [ "cluster-arn" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a sink connector to read from" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:WriteData", "kafka-cluster:DescribeTopic" ], "Resource": [ "ARN of the topic that you want a source connector to write to" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:CreateTopic", "kafka-cluster:WriteData", "kafka-cluster:ReadData", "kafka-cluster:DescribeTopic" ], "Resource": [ "arn:aws:kafka:region:account-id:topic/cluster-name/cluster-uuid/__amazon_msk_connect_*" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/__amazon_msk_connect_*", "arn:aws:kafka:region:account-id:group/cluster-name/cluster-uuid/connect-*" ] } ] }
A seconda del tipo di connettore, potrebbe anche essere necessario associare al ruolo di esecuzione del servizio una politica di autorizzazioni che ne consenta l'accessoAWSrisorse. Ad esempio, se il connettore deve inviare dati a un bucket S3, il ruolo di esecuzione del servizio deve avere una politica di autorizzazioni che conceda l'autorizzazione alla scrittura su quel bucket. A scopo di test, puoi utilizzare una delle policy IAM predefinite che forniscono l'accesso completo, comearn:aws:iam::aws:policy/AmazonS3FullAccess. Tuttavia, per motivi di sicurezza, si consiglia di utilizzare la politica più restrittiva che consenta al connettore di leggere daAWSfonte o scrivi alAWSlavello.
