MSK Connect のサービスにリンクされたロールの使用
Amazon MSK Connect は、AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、MSK Connect に直接リンクされている一意のタイプの IAM ロールです。サービスにリンクされたロールは MSK Connect によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべての許可が含まれています。
サービスにリンクされたロールにより、必要な許可を手動で追加する必要がないため、MSK Connect の設定が簡単になります。MSK Connect は、サービスにリンクされたロールの許可を定義します。特に定義されていない限り、MSK Connect のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他の IAM エンティティに添付することはできません。
サービスにリンクされたロールをサポートする、その他のサービスについては、「AWSIAM と連携する サービス」を参照して、サービスリンクされたロール列にはいになっているサービスを探してください。そのサービスのサービスにリンクされたロールのドキュメントを表示するには、リンク付きのはいを選択します。
MSK Connect のサービスにリンクされたロールのアクセス許可
MSK Connect は、AWSServiceRoleForKafkaConnect という名前のサービスにリンクされたロールを使用します – Amazon MSK Connect がユーザーに代わって Amazon リソースにアクセスできるようにします。
AWSServiceRoleForKafkaConnect サービスにリンクされたロールは、kafkaconnect.amazonaws.com サービスを信頼してロールを引き受けます。
ロールが使用する権限ポリシーについては、「AWS 管理ポリシー : KafkaConnectServiceRolePolicy」を参照してください。
サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAMユーザーガイド」のサービスにリンクされたロールのアクセス許可を参照してください。
MSK Connect のサービスにリンクされたロールの作成
サービスにリンクされたロールを手動で作成する必要はありません。AWS マネジメントコンソール、AWS CLI、または AWS APIでコネクタを作成すると、MSK Connect がサービスにリンクされたロールを作成します。
このサービスにリンクされたロールを削除してから再度作成する必要がある場合は、同じプロセスを使用してアカウントにロールを再作成できます。コネクタを作成すると、MSK Connect はサービスにリンクされたロールを再度作成します。
MSK Connect のサービスにリンクされたロールの編集
MSK Connect では、AWSServiceRoleForKafkaConnect サービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成した後は、さまざまなエンティティがロールをリファレンスする可能性があるため、ロールの名前を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」のサービスにリンクされたロールの編集を参照してください。
MSK Connect のサービスにリンクされたロールの削除
IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロールを手動で削除できます。これを行うには、最初にすべての MSK Connect コネクタを手動で削除する必要があります。次に、ロールを手動で削除できます。詳細については、「IAM ユーザーガイド」のサービスにリンクされたロールの削除を参照してください。
MSK Connect のサービスにリンクされたロールがサポートされているリージョン
MSK Connect は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。
