步骤 2:创建 IAM 角色,授予在 Amazon MSK 集群上创建主题的权限
在此步骤中,您需执行两个任务。第一个任务是创建 IAM policy,以授予在集群上创建主题以及向这些主题发送数据的访问权限。第二个任务是创建 IAM 角色并将此策略与其关联。在后面的步骤中,您需创建代入此角色的客户端计算机,使用它在集群上创建主题并向该主题发送数据。
创建允许创建主题并写入主题的 IAM policy
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 在导航窗格中,选择策略。
选择创建策略。
选择 JSON 选项卡,然后将编辑器窗口中的 JSON 替换为以下 JSON。
将
region
替换为您已创建集群的 Amazon 区域的代码。将Account-ID
替换为您的账户 ID。将MSKTutorialCluster
替换为集群的名称。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka-cluster:Connect", "kafka-cluster:AlterCluster", "kafka-cluster:DescribeCluster" ], "Resource": [ "arn:aws:kafka:region:Account-ID:cluster/MSKTutorialCluster/*" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:*Topic*", "kafka-cluster:WriteData", "kafka-cluster:ReadData" ], "Resource": [ "arn:aws:kafka:region:Account-ID:topic/MSKTutorialCluster/*" ] }, { "Effect": "Allow", "Action": [ "kafka-cluster:AlterGroup", "kafka-cluster:DescribeGroup" ], "Resource": [ "arn:aws:kafka:region:Account-ID:group/MSKTutorialCluster/*" ] } ] }
有关如何写入安全策略的说明,请参阅 IAM 访问控制。
选择下一步:标签。
选择下一步:审核。
为策略名称输入一个描述性名称,例如 msk-tutorial-policy。
选择创建策略。
创建 IAM 角色并向其附加此策略
在导航窗格中,选择角色。
选择 Create role(创建角色)。
在常见用例下,选择 EC2,然后选择下一步:权限。
在搜索框中,输入您之前为本教程创建的策略的名称。然后,选中策略左侧的复选框。
选择下一步:标签。
选择下一步:审核。
为角色名称输入一个描述性名称,例如 msk-tutorial-role。
选择 Create role(创建角色)。
下一步