本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
服務執行角色 (SER)
MSK Replicator 使用服務執行角色 (SER) 從來源叢集讀取並寫入目標叢集。您可以在建立 Replicator 時指定此角色。
您可以讓 MSK 主控台自動建立角色,或提供您自己的 IAM 角色。如果您提供自己的角色,建議您將 AWSMSKReplicatorExecutionRole受管 IAM 政策連接至該角色。
服務執行角色必須具有信任政策,允許kafka.amazonaws.com服務主體擔任該角色。信任政策範例如下。<yourAccountID> 以您的實際帳戶 ID 取代 。
{ "Statement": [ { "Effect": "Allow", "Principal": { "Service": "kafka.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "<yourAccountID>" } } } ] }
如果您想要限制kafka-cluster:WriteData許可,請參閱 Amazon MSK IAM 存取控制的運作方式中的建立授權政策一節。您需要將kafka-cluster:WriteDataIdempotently許可新增至來源和目標叢集。
如果您在多個 MSK 複寫器之間重複使用服務執行角色,則它們都受到相同的 Kafka 配額約束。如果您想要維護每個複寫器的個別配額,請使用個別的服務執行角色。
