翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon MSK のサービスリンクロールのアクセス許可
Amazon MSK では、AWSServiceRoleForKafka という名前のサービスリンクロールを使用します。Amazon MSK は、このロールを使用してリソースにアクセスし、次のようなオペレーションを実行します。
-
*NetworkInterface— カスタマーアカウントのネットワークインターフェイスを作成および管理します。これにより、カスタマー VPC 内のクライアントがクラスターブローカーにアクセスできるようなります。 -
*VpcEndpoints– を使用して、カスタマー VPC 内のクライアントがクラスターブローカーにアクセスできるようにする、カスタマーアカウントの VPC エンドポイントを管理します AWS PrivateLink。Amazon MSK は、DescribeVpcEndpoints、ModifyVpcEndpoint、およびDeleteVpcEndpointsに対するアクセス許可を使用します。 -
secretsmanager– を使用してクライアント認証情報を管理します AWS Secrets Manager。 -
GetCertificateAuthorityCertificate— プライベート認証局の証明書を取得します。
このサービスリンクロールは、マネージドポリシー KafkaServiceRolePolicy にアタッチされます。このポリシーの更新については、「KafkaServiceRolePolicy」を参照してください。
AWSServiceRoleForKafka サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
-
kafka.amazonaws.com
ロールのアクセス許可ポリシーは、Amazon MSK がリソースに対して以下のアクションを実行することを許可します。
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。
