ステップ 2: Amazon MSK クラスターでトピックを作成するためのアクセス権を付与する IAM ロールを作成する - Amazon Managed Streaming for Apache Kafka

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 2: Amazon MSK クラスターでトピックを作成するためのアクセス権を付与する IAM ロールを作成する

このステップでは、2 つのタスクを実行します。最初のタスクは、クラスターでトピックを作成し、それらのトピックにデータを送信するためのアクセスを許可する IAM ポリシーを作成することです。2 番目のタスクは、IAM ロールを作成し、作成したポリシーをそのロールに関連付けることです。後のステップでは、このロールを引き受けるクライアントマシンを作成し、それを使用してクラスター上にトピックを作成し、そのトピックにデータを送信します。

トピックを作成し、書き込むことを可能にする IAM ポリシーを作成する

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Policies] (ポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. ポリシーエディターで、JSON タブを選択し、エディタウィンドウの JSON を次の JSON に置き換えます。

    以下の例では、以下を置き換えます。

    • region と、クラスターを作成した AWS リージョン のコード。

    • アカウント ID の例: 123456789012。 AWS アカウント

    • MSKTutorialCluster および MSKTutorialCluster/7d7131e1-25c5-4e9a-9ac5-ea85bee4da11-14 を、あなたのクラスターの名前とその ID に置き換えます。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kafka-cluster:Connect",
                "kafka-cluster:AlterCluster",
                "kafka-cluster:DescribeCluster"
            ],
            "Resource": [
                "arn:aws:kafka:us-east-1:123456789012:cluster/MSKTutorialCluster/7d7131e1-25c5-4e9a-9ac5-ea85bee4da11-14"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafka-cluster:*Topic*",
                "kafka-cluster:WriteData",
                "kafka-cluster:ReadData"
            ],
            "Resource": [
            "arn:aws:kafka:us-east-1:123456789012:topic/MSKTutorialCluster/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kafka-cluster:AlterGroup",
                "kafka-cluster:DescribeGroup"
            ],
            "Resource": [
            "arn:aws:kafka:us-east-1:123456789012:group/MSKTutorialCluster/*"
            ]
        }
    ]
}

    安全なポリシーの記述方法については、「IAM アクセスコントロール」を参照してください。

  5. [次へ] を選択します。

  6. [レビューと作成] ページで、以下の操作を実行します。

    1. ポリシー名にわかりやすい名前 (msk-tutorial-policy など) を入力します。

    2. このポリシーで定義されているアクセス許可で、ポリシーで定義されたアクセス許可を確認および/または編集します。

    3. (オプション) ポリシーの識別、整理、検索を簡単にするには、キーと値のペアとして新規タグを追加します。たとえば、EnvironmentTest のキーと値のペアを使用してポリシーにタグを追加します。

      タグの使用の詳細については、IAM ユーザーガイド「 AWS Identity and Access Management リソースのタグ」を参照してください。

  7. [Create policy] (ポリシーの作成) を選択します。

IAM ロールを作成し、ポリシーを適用する

  1. ナビゲーションペインで ロールを選択してから、ロールを作成するを選択します。

  2. [信頼されたエンティティを選択] ページで、以下の操作を実行してください。

    1. 信頼できるエンティティタイプ で、AWS のサービス を選択します。

    2. サービスまたはユースケース]で、[EC2]を選択します。

    3. [ユースケース] で、[EC2] を選択してください。

  3. [次へ] を選択します。

  4. [アクセス許可を追加] ページで、以下を実行します。

    1. 権限ポリシーの下にある検索ボックスに、このチュートリアル用に以前に作成したポリシーの名前を入力します。次に、ポリシー名の左側にある、チェックボックスを選択してください。

    2. (オプション) アクセス許可の境界を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。アクセス許可の境界の設定については、IAM ユーザーガイドの「ロールの作成とポリシーのアタッチ (コンソール)」を参照してください。

  5. [次へ] を選択します。

  6. [名前を付けて、レビューし、作成する] ページで、以下の操作を実行します。

    1. ロール名に、わかりやすい名前 (msk-tutorial-role など) を入力します。

      重要

      ロールに名前を付けるときは、次のことに注意してください。

      • ロール名は 内で一意である必要があり AWS アカウント、大文字と小文字を区別することはできません。

        例えば、PRODROLEprodrole の両方の名前でロールを作成することはできません。ロール名がポリシーまたは ARN の一部として使用される場合、ロール名は大文字と小文字が区別されます。ただし、サインインプロセスなど、コンソールにロール名がユーザーに表示される場合、ロール名は大文字と小文字が区別されません。

      • 他のエンティティがロールを参照する可能性があるため、ロールを作成した後にロール名を編集することはできません。

    2. (オプション) [説明] にロールの説明を入力します。

    3. (オプション) ロールの使用事例とアクセス許可を編集するには、[ステップ 1: 信頼されたエンティティを選択] または [ステップ 2: アクセス権限を追加] のセクションで [編集] を選択します。

    4. (オプション) ロールの識別、整理、検索を簡単にするには、キーと値のペアとして新規タグを追加します。たとえば、ProductManagerJohn のキーと値のペアを使用してロールにタグを追加します。

      タグの使用の詳細については、IAM ユーザーガイド「 AWS Identity and Access Management リソースのタグ」を参照してください。

  7. ロールを確認したら、[ロールを作成] を選択します。

次のステップ

ステップ 3: クライアントマシンを作成する