翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
以下のセクションでは、MSK レプリケーター機能を使用するための前提条件、サポートされている設定、およびベストプラクティスの概要を説明します。ここでは、必要なアクセス許可、クラスターの互換性、サーバーレス固有の要件、および作成後のレプリケーターの管理に関するガイダンスについて説明します。
MSK レプリケーターの作成に必要な IAM アクセス許可
MSK レプリケーターの作成に必要な IAM ポリシーの例を次に示します。アクション kafka:TagResource
は、MSK レプリケーターの作成時にタグを指定する場合にのみ必要です。レプリケーターの IAM ポリシーは、クライアントに対応する IAM ロールにアタッチする必要があります。認可ポリシーの作成については、「認可ポリシーの作成」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "MSKReplicatorIAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::
123456789012
:role/MSKReplicationRole
", "Condition": { "StringEquals": { "iam:PassedToService": "kafka.amazonaws.com" } } }, { "Sid": "MSKReplicatorServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::123456789012
:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*
" }, { "Sid": "MSKReplicatorEC2Actions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:us-east-1:123456789012
:subnet/subnet-0abcd1234ef56789
", "arn:aws:ec2:us-east-1:123456789012
:security-group/sg-0123abcd4567ef89
", "arn:aws:ec2:us-east-1:123456789012
:network-interface/eni-0a1b2c3d4e5f67890
", "arn:aws:ec2:us-east-1:123456789012
:vpc/vpc-0a1b2c3d4e5f67890
" ] }, { "Sid": "MSKReplicatorActions", "Effect": "Allow", "Action": [ "kafka:CreateReplicator", "kafka:TagResource" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012
:cluster/myCluster
/abcd1234-56ef-78gh-90ij-klmnopqrstuv
", "arn:aws:kafka:us-east-1:123456789012
:replicator/myReplicator
/wxyz9876-54vu-32ts-10rq-ponmlkjihgfe
" ] } ] }
レプリケーターを記述する IAM ポリシーの例を次に示します。kafka:DescribeReplicator
アクションと kafka:ListTagsForResource
アクションは、いずれか一方が必要ですが、両方は必要ありません。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"kafka:DescribeReplicator",
"kafka:ListTagsForResource"
],
"Resource": "*"
}
]
}