翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
MSK レプリケーターの作成に必要な IAM アクセス許可
を呼び出す IAM プリンシパル (ユーザーまたはロール) には、このセクションで説明されているアクセス許可CreateReplicatorが必要です。このポリシーをクライアントに対応する IAM ID にアタッチします。認可ポリシーの作成に関する一般的なガイダンスについては、「認可ポリシーの作成」を参照してください。
以下の基本ポリシーから始めます。ログ配信も設定する場合は、使用する送信先ごとにスニペットを追加します (「」を参照ログ配信の追加アクセス許可)。セルフマネージド Apache Kafka 移行シナリオについては、「」の「追加のサービス実行ロールガイダンス」を参照してください非 MSK Apache Kafka クラスターから Amazon MSK Express ブローカーに移行する。
基本 IAM ポリシー
プレースホルダーをアカウント ID、 AWS リージョンサービス実行ロール名、ソースクラスターとターゲットクラスターARNs。アクションkafka:TagResourceは、作成時にタグを指定する場合にのみ必要です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "MSKReplicatorIAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::<accountID>:role/<serviceExecutionRoleName>", "Condition": { "StringEquals": { "iam:PassedToService": "kafka.amazonaws.com" } } }, { "Sid": "MSKReplicatorServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/kafka.amazonaws.com/AWSServiceRoleForKafka*" }, { "Sid": "MSKReplicatorActions", "Effect": "Allow", "Action": [ "kafka:CreateReplicator", "kafka:DescribeReplicator", "kafka:DeleteReplicator", "kafka:ListReplicators", "kafka:ListTagsForResource", "kafka:UpdateReplicationInfo", "kafka:TagResource" ], "Resource": [ "arn:aws:kafka:<region>:<accountID>:replicator/*" ] }, { "Sid": "MSKReplicatorListActions", "Effect": "Allow", "Action": [ "kafka:ListReplicators" ], "Resource": [ "*" ] }, { "Sid": "EC2Actions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs" ], "Resource": [ "*" ] }, { "Sid": "MSKClusterActions", "Effect": "Allow", "Action": [ "kafka:GetBootstrapBrokers", "kafka:DescribeClusterV2" ], "Resource": [ "<sourceClusterArn>", "<targetClusterArn>" ] } ] }
注記
ec2:DescribeSubnets、ec2:DescribeSecurityGroups、および ec2:DescribeVpcsアクションはリソースレベルのアクセス許可をサポートしていないため、 を指定する必要があります"Resource": "*"。Amazon EC2 リファレンスのアクション、リソース、および条件キーを参照してください。
