サービス実行ロール (SER)

MSK レプリケーターは、サービス実行ロール (SER) を使用してソースクラスターから読み取り、ターゲットクラスターに書き込みます。このロールは、レプリケーターの作成時に指定します。

MSK コンソールでロールを自動的に作成するか、独自の IAM ロールを指定することができます。独自のロールを指定する場合は、AWSMSKReplicatorExecutionRoleマネージド IAM ポリシーをアタッチすることをお勧めします。

サービス実行ロールには、kafka.amazonaws.comサービスプリンシパルがロールを引き受けることを許可する信頼ポリシーが必要です。以下に示しているのは、信頼ポリシーの例です。を実際のアカウント ID <yourAccountID>に置き換えます。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "kafka.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "<yourAccountID>"
        }
      }
    }
  ]
}

kafka-cluster:WriteData アクセス許可を制限する場合は、「Amazon MSK の IAM アクセスコントロールの仕組み」の「承認ポリシーの作成」セクションを参照してください。ソースクラスターとターゲットクラスターの両方にアクセスkafka-cluster:WriteDataIdempotently許可を追加する必要があります。

複数の MSK レプリケーター間でサービス実行ロールを再利用する場合、それらはすべて同じ Kafka クォータの対象となります。レプリケーターごとに個別のクォータを維持する必要がある場合は、個別のサービス実行ロールを使用します。