翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サービス実行ロール (SER)
<a name="msk-replicator-ser"></a>

MSK レプリケーターは、サービス実行ロール (SER) を使用してソースクラスターから読み取り、ターゲットクラスターに書き込みます。このロールは、レプリケーターの作成時に指定します。

MSK コンソールでロールを自動的に作成するか、独自の IAM ロールを指定することができます。独自のロールを指定する場合は、[https://docs.aws.amazon.com/msk/latest/developerguide/security-iam-awsmanpol-AWSMSKReplicatorExecutionRole.html](https://docs.aws.amazon.com/msk/latest/developerguide/security-iam-awsmanpol-AWSMSKReplicatorExecutionRole.html)マネージド IAM ポリシーをアタッチすることをお勧めします。

サービス実行ロールには、`kafka.amazonaws.com`サービスプリンシパルがロールを引き受けることを許可する信頼ポリシーが必要です。以下に示しているのは、信頼ポリシーの例です。を実際のアカウント ID `<yourAccountID>`に置き換えます。

```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "kafka.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "<yourAccountID>"
        }
      }
    }
  ]
}
```

`kafka-cluster:WriteData` アクセス許可を制限する場合は、「[Amazon MSK の IAM アクセスコントロールの仕組み](https://docs.aws.amazon.com/msk/latest/developerguide/iam-access-control.html#how-to-use-iam-access-control)」の「*承認ポリシーの作成*」セクションを参照してください。ソースクラスターとターゲットクラスターの両方にアクセス`kafka-cluster:WriteDataIdempotently`許可を追加する必要があります。

複数の MSK レプリケーター間でサービス実行ロールを再利用する場合、それらはすべて同じ Kafka クォータの対象となります。レプリケーターごとに個別のクォータを維持する必要がある場合は、個別のサービス実行ロールを使用します。