View a markdown version of this page

服务执行角色 (SER) - Amazon Managed Streaming for Apache Kafka
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

服务执行角色 (SER)

MSK Replicator 使用服务执行角色 (SER) 从您的源集群中读取数据并写入目标集群。您可以在创建复制器时指定此角色。

您可以让 MSK 控制台自动创建角色,也可以提供自己的 IAM 角色。如果您提供自己的角色,我们建议您为其附加AWSMSKReplicatorExecutionRole托管 IAM 策略。

服务执行角色必须具有允许kafka.amazonaws.com服务主体担任该角色的信任策略。以下是信任策略的示例。<yourAccountID>用您的实际账户 ID 替换。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "kafka.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "<yourAccountID>"
        }
      }
    }
  ]
}

如果想要限制 kafka-cluster:WriteData 权限,请参阅 How IAM access control for Amazon MSK works 中的 Create authorization policies 部分。您需要为源集群和目标集群添加kafka-cluster:WriteDataIdempotently权限。

如果您在多个 MSK 复制器之间重复使用服务执行角色,则它们都受相同的 Kafka 配额的约束。如果要为每个复制器保留单独的限额,请使用不同的服务执行角色。