首次使用消息队列 Kafka版之前,您需要进行跨服务授权,允许消息队列 Kafka版访问当前账号下的其他服务资源,例如 VPC 等。本文介绍跨服务访问授权的相关操作步骤。
注意事项 仅首次创建 Kafka 实例之前需要进行跨服务访问授权,完成授权后 Kafka 可以持续访问其他服务中的资源,直至删除服务关联角色。 服务关联角色的权限由系统生成,无法变更权限。若您需要取消授权,请删除角色。 建议通过火山引擎主账号完成跨服务访问授权,否则 IAM 用户创建首个 Kafka 实例时会因不具备创建服务关联角色的权限而导致跨服务授权失败。如果您的实际业务场景下确实需要由 IAM 用户进行跨服务访问授权,可以为 IAM 用户授予 IAMFullAccess 系统策略,详细说明请参考IAM产品文档 。 背景信息 消息队列 Kafka版实例需要绑定 VPC 和子网等资源,创建 Kafka 实例时,消息队列 Kafka版服务需要访问私有网络等其他服务,用于获取 VPC 列表、子网列表等信息。首次创建 Kafka 实例之前,您需要为消息队列 Kafka版服务进行授权,即允许其扮演 ServiceRoleForKafka 角色,该角色具备预设的一系列权限策略,允许消息队列 Kafka版访问您账号下的其他服务资源。
操作步骤 登录消息队列 Kafka版控制台 。 在顶部菜单栏中选择需要创建实例的地域。 在实例列表 页面左上角单击创建实例 。 在弹出的跨服务访问请求 页面,确认关联角色与信任关系,并单击授权 。
成功授权后,可以在 IAM 的角色列表中查看已创建的 ServiceRoleForKafka 服务关联角色。 后续操作 完成授权后,页面返回到实例列表 页面,您可以再次单击创建实例 ,创建第一个 Kafka 实例。