本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
服务执行角色 (SER)
MSK Replicator 使用服务执行角色 (SER) 从您的源集群中读取数据并写入目标集群。您可以在创建复制器时指定此角色。
您可以让 MSK 控制台自动创建角色,也可以提供自己的 IAM 角色。如果您提供自己的角色,我们建议您为其附加AWSMSKReplicatorExecutionRole托管 IAM 策略。
服务执行角色必须具有允许kafka.amazonaws.com服务主体担任该角色的信任策略。以下是信任策略的示例。<yourAccountID>用您的实际账户 ID 替换。
{ "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kafka.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<yourAccountID>" } } } ] }
如果想要限制 kafka-cluster:WriteData 权限,请参阅 How IAM access control for Amazon MSK works 中的 Create authorization policies 部分。您需要为源集群和目标集群添加kafka-cluster:WriteDataIdempotently权限。
如果您在多个 MSK 复制器之间重复使用服务执行角色,则它们都受相同的 Kafka 配额的约束。如果要为每个复制器保留单独的限额,请使用不同的服务执行角色。
