本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 服務執行角色 (SER)
MSK Replicator 使用服務執行角色 (SER) 從來源叢集讀取並寫入目標叢集。您可以在建立 Replicator 時指定此角色。
您可以讓 MSK 主控台自動建立角色,或提供您自己的 IAM 角色。如果您提供自己的角色,建議您將 [https://docs.aws.amazon.com/msk/latest/developerguide/security-iam-awsmanpol-AWSMSKReplicatorExecutionRole.html](https://docs.aws.amazon.com/msk/latest/developerguide/security-iam-awsmanpol-AWSMSKReplicatorExecutionRole.html)受管 IAM 政策連接至該角色。
服務執行角色必須具有信任政策,允許`kafka.amazonaws.com`服務主體擔任該角色。信任政策範例如下。`` 以您的實際帳戶 ID 取代 。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "kafka.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
}
}
}
]
}
```
如果您想要限制`kafka-cluster:WriteData`許可,請參閱 [Amazon MSK IAM 存取控制的運作方式](https://docs.aws.amazon.com/msk/latest/developerguide/iam-access-control.html#how-to-use-iam-access-control)中的*建立授權政策*一節。您需要將`kafka-cluster:WriteDataIdempotently`許可新增至來源和目標叢集。
如果您在多個 MSK 複寫器之間重複使用服務執行角色,則它們都受到相同的 Kafka 配額約束。如果您想要維護每個複寫器的個別配額,請使用個別的服務執行角色。