为 Lambda 配置 Amazon MSK 事件源 - Amazon Lambda
将 Amazon MSK 集群用作事件源为 Amazon MSK 事件源创建事件源映射配置集群身份验证方法可自定义的使用者组 ID轮询和流的起始位置事件轮询器扩展模式创建跨账户事件源映射所有 Amazon MSK 事件源配置参数
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为 Lambda 配置 Amazon MSK 事件源

要使用 Amazon MSK 集群作为 Lambda 函数的事件源,您需要创建连接这两个资源的事件源映射。此页面介绍如何为 Amazon MSK 创建事件源映射。

此页面假设您已经正确配置 MSK 集群及其所在的 Amazon Virtual Private Cloud(VPC)。如果您需要设置集群或 VPC,请参阅为 Lambda 配置 Amazon MSK 集群和 Amazon VPC 网络

将 Amazon MSK 集群用作事件源

当您添加 Apache Kafka 或 Amazon MSK 集群作为 Lambda 函数的触发器时,该集群将用作事件源

Lambda 根据您指定的起始位置,从您在 CreateEventSourceMapping 请求中指定为 Topics 的 Kafka 主题读取事件数据。成功进行处理后,会将 Kafka 主题提交给 Kafka 集群。

Lambda 按顺序读取每个 Kafka 主题分区的消息。单个 Lambda 负载可以包含来自多个分区的消息。当有更多记录可用时,Lambda 根据您在 CreateEventSourceMapping 请求中指定的 BatchSize 值,继续对记录进行批处理,直到函数赶上主题的速度。

Lambda 处理各个批次后,会提交该批次中消息的偏移量。如果函数为批处理中的任何消息返回错误,Lambda 将重试整批消息,直到处理成功或消息过期为止。您可以将所有重试都失败的记录发送到失败时的目标,以供日后处理。

注意

尽管 Lambda 函数的最大超时限制通常为 15 分钟,但 Amazon MSK、自行管理的 Apache Kafka、Amazon DocumentDB、Amazon MQ for ActiveMQ 和 RabbitMQ 的事件源映射,仅支持最大超时限制为 14 分钟的函数。

为 Amazon MSK 事件源创建事件源映射

要创建事件源映射,您可以使用 Lambda 控制台、Amazon Command Line Interface(CLI)Amazon SDK

注意

创建事件源映射时,Lambda 会在包含 MSK 集群的私有子网中创建 Hyperplane ENI,从而允许 Lambda 建立安全连接。此 Hyperplane ENI 使用 MSK 集群的子网和安全组配置,而不是 Lambda 函数。

以下控制台步骤添加 Amazon MSK 集群作为 Lambda 函数的触发器。这将在后台创建一个事件源映射资源。

将 Amazon MSK 触发器添加到 Lambda 函数(控制台)

  1. 打开 Lambda 控制台的函数页面

  2. 选择您要为其添加 Amazon MSK 触发器的 Lambda 函数的名称。

  3. Function overview(函数概览)下,选择 Add trigger(添加触发器)。

  4. 触发器配置下,选择 MSK

  5. 要指定 Kafka 集群详细信息,请执行以下操作:

    1. 对于 MSK cluster(MSK 集群),选择您的集群。

    2. 对于主题名称,输入要从中使用消息的 Kafka 主题的名称。

    3. 对于使用者组 ID,输入要加入的 Kafka 使用者组的 ID(如适用)。有关更多信息,请参阅 可自定义的使用者组 ID

  6. 对于集群身份验证,请进行必要的配置。有关集群身份验证的更多信息,请参阅配置集群身份验证方法

    • 如果您希望 Lambda 在建立连接时对 MSK 集群执行身份验证,请开启使用身份验证。建议进行身份验证。

    • 如果使用身份验证,对于身份验证方法,选择要使用的身份验证方法。

    • 如果您使用身份验证,对于 Secrets Manager 密钥,选择包含访问集群所需身份验证凭证的 Secrets Manager 密钥。

  7. 事件轮询器配置下,进行必要的配置。

    • 选择激活触发器以在创建后立即启用该触发器。

    • 选择是否要为事件源映射配置预置模式。有关更多信息,请参阅 事件轮询器扩展模式

      • 如果您配置了预置模式,输入最小事件轮询器数值,最大事件轮询器数值,或同时输入两个值。

    • 对于起始位置,选择您希望 Lambda 如何开始从流中读取。有关更多信息,请参阅 轮询和流的起始位置

  8. 批处理下,进行必要的配置。有关批处理的更多信息,请参阅批处理行为

    1. 对于 Batch size(批处理大小),输入要在单个批次中接收的最大消息数。

    2. 对于批处理时段,输入 Lambda 在调用函数之前收集记录所花费的最大秒数。

  9. 筛选下,进行必要的配置。有关筛选的更多信息,请参阅 对 Amazon MSK 事件源使用事件筛选

    • 筛选条件中,添加筛选条件定义以确定是否处理事件。

  10. 故障处理下,进行必要的配置。有关故障处理的更多信息,请参阅捕获 Amazon MSK 事件源丢弃的批处理

    • 对于故障目标,指定故障时目标的 ARN。

  11. 对于标签,输入要与此事件源映射关联的标签。

  12. 要创建触发器,请选择 Add(添加)。

您还可以使用 Amazon CLI 中的 create-event-source-mapping 命令创建事件源映射。以下示例创建事件源映射,将 Lambda 函数 my-msk-function 映射到 AWSKafkaTopic 主题,从 LATEST 消息开始。此命令还使用 SourceAccessConfiguration 对象指示 Lambda 在连接到集群时使用 SASL/SCRAM 身份验证。

aws lambda create-event-source-mapping \
  --event-source-arn arn:aws:kafka:us-east-1:111122223333:cluster/my-cluster/fc2f5bdf-fd1b-45ad-85dd-15b4a5a6247e-2 \
  --topics AWSKafkaTopic \
  --starting-position LATEST \
  --function-name my-kafka-function
  --source-access-configurations '[{"Type": "SASL_SCRAM_512_AUTH","URI": "arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret"}]'

如果集群使用 mTLS 身份验证,请包含指定 CLIENT_CERTIFICATE_TLS_AUTHSourceAccessConfiguration 对象以及 Secrets Manager 密钥 ARN。如下面的命令所示:

aws lambda create-event-source-mapping \
  --event-source-arn arn:aws:kafka:us-east-1:111122223333:cluster/my-cluster/fc2f5bdf-fd1b-45ad-85dd-15b4a5a6247e-2 \
  --topics AWSKafkaTopic \
  --starting-position LATEST \
  --function-name my-kafka-function
  --source-access-configurations '[{"Type": "CLIENT_CERTIFICATE_TLS_AUTH","URI": "arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret"}]'

当集群使用 IAM 身份验证时,您不需要 SourceAccessConfiguration 对象。如下面的命令所示:

aws lambda create-event-source-mapping \
  --event-source-arn arn:aws:kafka:us-east-1:111122223333:cluster/my-cluster/fc2f5bdf-fd1b-45ad-85dd-15b4a5a6247e-2 \
  --topics AWSKafkaTopic \
  --starting-position LATEST \
  --function-name my-kafka-function

配置集群身份验证方法

Lambda 需要访问 Amazon MSK 集群、检索记录和执行其他任务的权限。Amazon MSK 支持多种方法来使用 MSK 集群进行身份验证。

未经身份验证的访问

如果没有客户端会通过互联网访问集群,则可以使用未经身份验证访问。

SASL/SCRAM 身份验证

Lambda 支持使用 SHA-512 哈希函数和传输层安全性协议(TLS)加密进行简单身份验证和安全层/加盐质疑应答身份验证机制(SASL/SCRAM)身份验证。为使 Lambda 连接到集群,请将身份验证凭证(用户名和密码)存储在 Secrets Manager 密钥中,并在配置事件源映射时引用此密钥。

有关使用 Secrets Manager 的更多信息,请参阅《Amazon Managed Streaming for Apache Kafka Developer Guide》中的 Sign-in credentials authentication with Secrets Manager

注意

Amazon MSK 不支持 SASL/PLAIN 身份验证。

双向 TLS 身份验证

双向 TLS(mTLS)在客户端和服务器之间提供双向身份验证。客户端将证书发送给服务器,以便服务器验证客户端。服务器还将服务器证书发送给客户端,以便客户端验证服务器。

对于 Amazon MSK 与 Lambda 的集成,MSK 集群充当服务器,而 Lambda 充当客户端。

  • 要让 Lambda 验证 MSK 集群,您可以在 Secrets Manager 中将客户端证书配置为密钥,并在事件源映射配置中引用该证书。客户端证书必须由服务器信任存储中的证书颁发机构(CA)签名。

  • MSK 集群还会向 Lambda 发送服务器证书。服务器证书必须由 Amazon 信任存储中的证书颁发机构(CA)签名。

Amazon MSK 不支持自签名服务器证书。Amazon MSK 中的所有代理都使用由 Amazon Trust Services CA 签名的公有证书,默认情况下 Lambda 信任这些证书。

CLIENT_CERTIFICATE_TLS_AUTH 密钥需要证书字段和私有密钥字段。对于加密的私有密钥,密钥需要私有密钥密码。证书和私有密钥必须采用 PEM 格式。

注意

Lambda 支持 PBES1(而不是 PBES2)私有密钥加密算法。

证书字段必须包含证书列表,首先是客户端证书,然后是任何中间证书,最后是根证书。每个证书都必须按照以下结构在新行中启动:

-----BEGIN CERTIFICATE-----  
        <certificate contents>
-----END CERTIFICATE-----

Secrets Manager 支持最多包含 65536 字节的密钥,这为长证书链提供了充足的空间。

私有密钥必须采用 PKCS #8 格式,并具有以下结构:

-----BEGIN PRIVATE KEY-----  
         <private key contents>
-----END PRIVATE KEY-----

对于加密的私有密钥,请使用以下结构:

-----BEGIN ENCRYPTED PRIVATE KEY-----  
          <private key contents>
-----END ENCRYPTED PRIVATE KEY-----

以下示例显示使用加密私有密钥进行 mTLS 身份验证的密钥内容。对于加密的私有密钥,您可以在密钥中包含私有密钥密码。

{
 "privateKeyPassword": "testpassword",
 "certificate": "-----BEGIN CERTIFICATE-----
MIIE5DCCAsygAwIBAgIRAPJdwaFaNRrytHBto0j5BA0wDQYJKoZIhvcNAQELBQAw
...
j0Lh4/+1HfgyE2KlmII36dg4IMzNjAFEBZiCRoPimO40s1cRqtFHXoal0QQbIlxk
cmUuiAii9R0=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFgjCCA2qgAwIBAgIQdjNZd6uFf9hbNC5RdfmHrzANBgkqhkiG9w0BAQsFADBb
...
rQoiowbbk5wXCheYSANQIfTZ6weQTgiCHCCbuuMKNVS95FkXm0vqVD/YpXKwA/no
c8PH3PSoAaRwMMgOSA2ALJvbRz8mpg==
-----END CERTIFICATE-----",
 "privateKey": "-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUiAFcK5hT/X7Kjmgp
...
QrSekqF+kWzmB6nAfSzgO9IaoAaytLvNgGTckWeUkWn/V0Ck+LdGUXzAC4RxZnoQ
zp2mwJn2NYB7AZ7+imp0azDZb+8YG2aUCiyqb6PnnA==
-----END ENCRYPTED PRIVATE KEY-----"
}

有关适用于 Amazon MSK 的 mTLS 的更多信息,请参阅《Amazon Managed Streaming for Apache Kafka Developer Guide》中的 Mutual TLS client authentication for Amazon MSK

IAM 身份验证

您可以使用 Amazon Identity and Access Management(IAM)来验证连接到 MSK 集群的客户端的身份。使用 IAM 身份验证时,Lambda 依靠函数执行角色中的权限连接到集群、检索记录以及执行其他所需操作。有关包含必要权限的策略示例,请参阅《Amazon Managed Streaming for Apache Kafka Developer Guide》中的 Create authorization policies for the IAM role

如果 IAM 身份验证在您的 MSK 集群上处于活动状态,并且您没有提供密钥,则 Lambda 自动默认使用 IAM 身份验证。

有关 Amazon MSK 中的 IAM 身份验证的更多信息,请参阅 IAM access control

Lambda 如何选择引导代理

Lambda 根据集群上可用的身份验证方法以及您是否提供用于身份验证的密钥来选择引导代理。如果您为 mTLS 或 SASL/SCRAM 提供了密钥,Lambda 将自动选择该身份验证方法。如果不提供密钥,Lambda 会选择在集群上处于活动状态的最强身份验证方法。下面是 Lambda 选择代理的优先级顺序,从最强到最弱的身份验证:

  • mTLS(为 mTLS 提供的密钥)

  • SASL/SCRAM(为 SASL/SCRAM 提供的密钥)

  • SASL IAM(未提供密钥,IAM 身份验证处于活动状态)

  • 未经身份验证的 TLS(未提供密钥,IAM 身份验证未处于活动状态)

  • 纯文本(未提供密钥,IAM 身份验证和未经身份验证的 TLS 均未处于活动状态)

注意

如果 Lambda 无法连接到最安全的代理类型,则 Lambda 不会尝试连接到其他(较弱)代理类型。如果希望 Lambda 选择较弱的代理类型,请停用集群上所有更强的身份验证方法。

可自定义的使用者组 ID

将 Kafka 设置为事件源时,您可以指定使用者组 ID。此使用者组 ID 是您希望 Lambda 函数加入的 Kafka 使用者组的现有标识符。您可以使用此功能将任何正在进行的 Kafka 记录处理设置从其他使用者无缝迁移到 Lambda。

Kafka 向使用者组中的所有使用者分发消息。如果您指定的使用者组 ID 具有其他活动使用者,则 Lambda 将仅接收来自 Kafka 主题的部分消息。如果希望 Lambda 处理主题中的所有消息,请关闭该使用者组中的任何其他使用者。

此外,如果指定了使用者组 ID,而 Kafka 找到了具有相同 ID 的有效现有使用者组,则 Lambda 会忽略事件源映射的 StartingPosition 参数。相反,Lambda 开始根据使用者组的已提交偏移量处理记录。如果指定了使用者组 ID,而 Kafka 找不到现有使用者组,则 Lambda 会使用指定的 StartingPosition 配置事件源。

在所有 Kafka 事件源中,您指定的使用者组 ID 必须是唯一的。在使用指定的使用者组 ID 创建 Kafka 事件源映射后,无法更新此值。

轮询和流的起始位置

StartingPosition 参数告诉 Lambda 何时开始从流中读取消息。有三个选项可供选择:

  • 最新:Lambda 从 Kafka 主题中的最新记录之后开始读取。

  • 修剪水平线:Lambda 从 Kafka 主题中最后一条未修剪的记录开始读取。这也是该主题中最早的记录。

  • 位于时间戳:Lambda 从时间戳定义的位置开始读取,以 Unix 时间秒为单位。使用 StartingPositionTimestamp 参数指定时间戳。

事件源映射创建或更新期间的流轮询最终是一致的:

  • 在事件源映射创建期间,可能需要几分钟才能开始轮询来自流的事件。

  • 在事件源映射更新期间,可能需要长达 90 秒才能停止和重新开始轮询来自流的事件。

此行为意味着,如果您指定 LATEST 作为流的起始位置,事件源映射可能会在创建或更新期间错过事件。为确保不会错过任何事件,请指定 TRIM_HORIZONAT_TIMESTAMP

事件轮询器扩展模式

您可以为 Kafka 事件源映射选择两种事件轮询器扩展模式之一:

按需模式(默认)

当您最初创建 Amazon MSK 事件源时,Lambda 会分配默认数量的事件轮询器来处理 Kafka 主题中的所有分区。Lambda 根据消息负载自动扩展或缩减事件轮询器的数量。

Lambda 会按一分钟的间隔时间来评估主题中所有分区的偏移滞后。如果偏移延迟太高,则分区接收消息的速度比 Lambda 处理消息的速度更快。如有必要,Lambda 会在主题中添加或删除事件轮询器。添加或删除事件轮询器的自动扩缩过程在评估后的三分钟内发生。

如果目标 Lambda 函数受到限制,Lambda 会减少事件轮询器的数量。此操作通过减少事件轮询器可以检索和发送到函数的消息数来减少函数的工作负载。

预调配模式

对于需要微调事件源映射吞吐量的工作负载,您可以使用预调配模式。在预调配模式下,您可以为预调配事件轮询器数量定义最小和最大限制。这些预调配事件轮询器专用于事件源映射,并且可以通过响应式自动扩缩处理意外的消息激增。对于具有严格性能要求的 Kafka 工作负载,我们建议您使用预调配模式。

在 Lambda 中,事件轮询器是一种能够处理高达 5 Mbps 吞吐量的计算单位。作为参考,假设您的事件源产生的平均有效载荷为 1 MB,并且平均函数持续时间为 1 秒。如果有效载荷未进行任何转换(例如筛选),则单个轮询器可以支持 5 Mbps 的吞吐量和 5 次并发 Lambda 调用。使用预调配模式会产生额外成本。有关定价估算,请参阅 Amazon Lambda 定价

注意

使用预调配模式时,您无需创建 Amazon PrivateLink VPC 端点或在网络配置过程中授予关联权限。

在预调配模式下,最小事件轮询器数量 (MinimumPollers) 的可接受值范围介于 1 到 200 之间(含首尾)。事件轮询器的最大数量 (MaximumPollers) 的可接受值范围介于 1 到 2000 之间(含首尾)。MaximumPollers 必须大于或等于 MinimumPollers。此外,为了保持分区内的有序处理,Lambda 會将 MaximumPollers 限制为主题中的分区数量。

有关选择适当的最小和最大事件轮询器值的更多详细信息,请参阅使用预调配模式时的最佳实践和注意事项

您可以使用控制台或 Lambda API 为 Amazon MSK 事件源映射配置预调配模式。

为现有的 Amazon MSK 事件源映射配置预调配模式(控制台)

  1. 打开 Lamba 控制台的函数页面

  2. 选择具有要为其配置预调配模式的 Amazon MSK 事件源映射的函数。

  3. 选择配置,然后选择触发器

  4. 选择要为其配置预调配模式的 Amazon MSK 事件源映射,然后選擇编辑

  5. 事件源映射配置下,选择配置预调配模式

    • 对于最少事件轮询器,输入介于 1 到 200 之间的值。如果未指定值,则 Lambda 将选择默认值 1。

    • 对于最大事件轮询器,输入介于 1 到 2000 之间的值。此值必须大于或等于最少事件轮询器的值。如果未指定值,则 Lambda 将选择默认值 200。

  6. 选择保存

您可以使用 EventSourceMappingConfiguration 中的 ProvisionedPollerConfig 对象,以编程方式配置预调配模式。例如,以下 UpdateEventSourceMapping CLI 命令将 MinimumPollers 值配置为 5,将 MaximumPollers 值配置为 100。

aws lambda update-event-source-mapping \
    --uuid a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
    --provisioned-poller-config '{"MinimumPollers": 5, "MaximumPollers": 100}'

配置预调配模式后,您可以通过监控 ProvisionedPollers 指标来观测事件轮询器对您的工作负载的使用情况。有关更多信息,请参阅 事件源映射指标

要禁用预调配模式并返回默认(按需)模式,您可以使用以下 UpdateEventSourceMapping CLI 命令:

aws lambda update-event-source-mapping \
    --uuid a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
    --provisioned-poller-config '{}'

使用预调配模式时的最佳实践和注意事项

事件源映射的最小和最大事件轮询器的最佳配置取决于应用程序的性能需求。建议您从默认最小事件轮询器开始,以设定性能配置文件的基准。根据观测到的消息处理模式和所需的性能配置文件调整配置。

对于流量激增且性能需求严格的工作负载,请增加最少的事件轮询器数以处理消息突然激增。要确定所需的最少事件轮询器数,请考虑工作负载的每秒消息数和平均有效载荷大小,并使用单个事件轮询器的吞吐能力(最高 5 Mbps)作为参考。

为了保持分区内的有序处理,Lambda 会将最大事件轮询器数限制为主题中的分区数量。此外,您的事件源映射可以扩展到的最大事件轮询器数取决于函数的并发设置。

激活预调配模式时,更新您的网络设置以删除 Amazon PrivateLink VPC 端点和关联的权限。

创建跨账户事件源映射

您可以使用多 VPC 私有连接将 Lambda 函数连接到不同 Amazon Web Services 账户 中的预置 MSK 集群。多 VPC 连接使用 Amazon PrivateLink,可将所有流量保持在 Amazon 网络内。

注意

您无法为无服务器 MSK 集群创建跨账户事件源映射。

要创建跨账户事件源映射,必须先为 MSK 集群配置多 VPC 连接。创建事件源映射时,请使用托管 VPC 连接 ARN 而非集群 ARN,如以下示例所示。CreateEventSourceMapping 操作也因 MSK 集群使用的身份验证类型而异。

例 — 为使用 IAM 身份验证的集群创建跨账户事件源映射

当集群使用基于 IAM 角色的身份验证时,您不需要 SourceAccessConfiguration 对象。示例:

aws lambda create-event-source-mapping \
  --event-source-arn arn:aws:kafka:us-east-1:111122223333:vpc-connection/444455556666/my-cluster-name/51jn98b4-0a61-46cc-b0a6-61g9a3d797d5-7 \
  --topics AWSKafkaTopic \
  --starting-position LATEST \
  --function-name my-kafka-function
例 — 为使用 SASL/SCRAM 身份验证的集群创建跨账户事件源映射

如果集群使用 SASL/SCRAM 身份验证,则必须包含指定 SASL_SCRAM_512_AUTHSourceAccessConfiguration 对象以及 Secrets Manager 密钥 ARN。

有两种方法可以通过 SASL/SCRAM 身份验证将密钥用于跨账户 Amazon MSK 事件源映射:

aws lambda create-event-source-mapping \
  --event-source-arn arn:aws:kafka:us-east-1:111122223333:vpc-connection/444455556666/my-cluster-name/51jn98b4-0a61-46cc-b0a6-61g9a3d797d5-7 \
  --topics AWSKafkaTopic \
  --starting-position LATEST \
  --function-name my-kafka-function \
  --source-access-configurations '[{"Type": "SASL_SCRAM_512_AUTH","URI": "arn:aws:secretsmanager:us-east-1:444455556666:secret:my-secret"}]'
例 — 为使用 mTLS 身份验证的集群创建跨账户事件源映射

如果集群使用 mTLS 身份验证,则必须包含指定 CLIENT_CERTIFICATE_TLS_AUTHSourceAccessConfiguration 对象以及 Secrets Manager 密钥 ARN。密钥可以存储在集群账户或 Lambda 函数账户中。

aws lambda create-event-source-mapping \
  --event-source-arn arn:aws:kafka:us-east-1:111122223333:vpc-connection/444455556666/my-cluster-name/51jn98b4-0a61-46cc-b0a6-61g9a3d797d5-7 \
  --topics AWSKafkaTopic \
  --starting-position LATEST \
  --function-name my-kafka-function \
  --source-access-configurations '[{"Type": "CLIENT_CERTIFICATE_TLS_AUTH","URI": "arn:aws:secretsmanager:us-east-1:444455556666:secret:my-secret"}]'

所有 Amazon MSK 事件源配置参数

所有 Lambda 事件源类型共享相同的 CreateEventSourceMappingUpdateEventSourceMapping API 操作。但是,只有部分参数适用于 Amazon MSK,如下表中所示。

参数 必需 默认值 备注

AmazonManagedKafkaEventSourceConfig

N

包含 ConsumerGroupId 字段,该字段默认为唯一值。

只能在 Create(创建)设置

BatchSize

100

最大值:10000

DestinationConfig

N

不适用

捕获 Amazon MSK 事件源丢弃的批处理

启用

N

True

EventSourceArn

Y

 不适用

只能在 Create(创建)设置

FilterCriteria

N

不适用

控制 Lambda 向您的函数发送的事件

FunctionName

不适用

KMSKeyArn

N

不适用

筛选条件的加密

MaximumBatchingWindowInSeconds

N

500 毫秒

批处理行为

ProvisionedPollersConfig

N

MinimumPollers:如果未指定,则默认值为 1

MaximumPollers:如果未指定,则默认值为 200

预调配模式

SourceAccessConfigurations

无凭证

事件源的 SASL/SCRAM 或 CLIENT_CERTIFICATE_TLS_AUTH (MutualTLS) 身份验证凭证

StartingPosition

Y

不适用

AT_TIMESTAMP、TRIM_HORIZON 或 LATEST

只能在 Create(创建)设置

StartingPositionTimestamp

N

不适用

当 StartingPosition 设置为 AT_TIMESTAMP 时,为必需项

标签

N

不适用

在事件源映射上使用标签

主题

Y

不适用

Kafka 主题名称

只能在 Create(创建)设置