Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Activación del acceso público a un clúster de MSK aprovisionado Amazon MSK ofrece la opción de habilitar el acceso público a los agentes de clústeres de MSK aprovisionados que ejecutan Apache Kafka versión 2.6.0 o posterior. Por motivos de seguridad, no puede activar el acceso público al crear un clúster de MSK. Sin embargo, puede actualizar un clúster existente para que sea de acceso público. También puede crear un clúster nuevo y, a continuación, actualizarlo para que sea accesible públicamente. Puedes activar el acceso público a un clúster de MSK sin coste adicional, pero se aplican los costes de transferencia de AWS datos estándar para la transferencia de datos dentro y fuera del clúster. Para obtener más información sobre este modelo de precios, consulte [Precios de las instancias bajo demanda de Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/). Los clústeres aprovisionados de Amazon MSK con un tipo de red de doble pila admiten ambos IPv4 tipos de IPv6 conectividad para el acceso público. Cuando el acceso público esté habilitado en su clúster, las mismas cadenas de IPv6 arranque funcionarán automáticamente tanto para la conectividad predeterminada como para la de acceso público. Las cadenas de IPv4 arranque existentes seguirán funcionando para IPv4 la conectividad. Tenga en cuenta que si el acceso público no está habilitado en su clúster, las cadenas de IPv6 arranque no tendrán capacidad de acceso público. Para obtener más información, consulte Configurar el tipo de red de doble pila para un clúster de Amazon MSK. **nota** Si utiliza los métodos de control de acceso SASL/SCRAM o mTLS, primero debe configurar Apache Kafka para su clúster. ACLs Luego, actualice la configuración del clúster para establecer la propiedad `allow.everyone.if.no.acl.found` en falso. Para obtener información acerca de cómo actualizar la configuración de un clúster, consulte [Operaciones de configuración de agentes](msk-configuration-operations.md). Para activar el acceso público a un clúster de MSK aprovisionado, asegúrese de que el clúster cumpla todas las siguientes condiciones: + Las subredes asociadas al clúster deben ser públicas. Cada subred pública tiene una IPv4 dirección pública asociada y el precio de IPv4 las direcciones públicas se indica en la página de precios de [Amazon VPC](https://aws.amazon.com/vpc/pricing/). Esto significa que las subredes deben tener una tabla de enrutamiento asociada con una puerta de enlace de Internet adjunta. Para obtener información sobre cómo crear y asociar una puerta de enlace de Internet, consulte [Habilitación del acceso a VPC mediante puertas de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) en la *Guía del usuario de Amazon VPC*. + El control de acceso no autenticado debe estar desactivado y al menos uno de los siguientes métodos de control de acceso debe estar activado: mTLS. SASL/IAM, SASL/SCRAM Para obtener más información acerca de cómo actualizar el método de control de acceso de un clúster, consulte [Actualización de la configuración de seguridad de un clúster de Amazon MSK](msk-update-security.md). + El cifrado dentro del clúster debe estar activado. Esta configuración es la predeterminada al crear un clúster. No es posible activar el cifrado dentro del clúster para un clúster que se creó con el cifrado desactivado. Por lo tanto, no es posible activar el acceso público a un clúster que se creó con el cifrado dentro del clúster desactivado. + El tráfico de texto sin formato entre los agentes y los clientes debe estar desactivado. Para obtener información sobre cómo desactivarlo si está activado, consulte [Actualización de la configuración de seguridad de un clúster de Amazon MSK](msk-update-security.md). + Si utiliza control de acceso con IAM y desea aplicar o actualizar políticas de autorización, consulte [Control de acceso de IAM](iam-access-control.md). Para obtener información sobre Apache Kafka, consulte. ACLs [Apache Kafka ACLs](msk-acls.md) Una vez que se asegure de que un clúster de MSK cumple las condiciones enumeradas anteriormente, puede usar la Consola de administración de AWS AWS CLI, la o la API de Amazon MSK para activar el acceso público. Después de activar el acceso público a un clúster, puede obtener una cadena pública de bootstrap-brokers para este. Para obtener más información acerca de cómo obtener los agentes de arranque de un clúster, consulte [Obtención de agentes de arranque para un clúster de Amazon MSK](msk-get-bootstrap-brokers.md). **importante** Además de activar el acceso público, asegúrese de que los grupos de seguridad del clúster tengan reglas de TCP de entrada que permitan el acceso público desde su dirección IP. Le recomendamos que estas reglas sean lo más restrictivas posible. Para obtener más información acerca de los grupos de seguridad y las reglas de entrada, consulte [Grupos de seguridad de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) en la Guía del usuario de Amazon VPC. Para ver los números de los puertos, consulte [Información del puerto](port-info.md). Para obtener instrucciones acerca de cómo cambiar el grupo de seguridad de un clúster, consulte [Modificación del grupo de seguridad de un clúster de Amazon MSK](change-security-group.md). **nota** Si sigue estas instrucciones para activar el acceso público y, a pesar de ello, sigue sin poder acceder al clúster, consulte [No se puede acceder al clúster que tiene activado el acceso público](troubleshooting.md#public-access-issues). **Activación del acceso público mediante la consola** 1. ¿Iniciar sesión en la Consola de administración de AWS consola Amazon MSK y abrirla desde [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/). 1. En la lista de clústeres, elija el clúster en el que desea activar el acceso público. 1. Seleccione la pestaña **Propiedades** y, a continuación, busque la sección **Configuración de redes**. 1. Elija **Editar el acceso público**. **Activar el acceso público mediante el AWS CLI** 1. Ejecute el siguiente AWS CLI comando, sustituyendo *ClusterArn* y *Current-Cluster-Version* por el ARN y la versión actual del clúster. Para encontrar la versión actual del clúster, utilice la [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)operación o el comando [AWS CLI describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). Un ejemplo de ID de versión es `KTVPDKIKX0DER`. ``` aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}' ``` El resultado de este comando `update-connectivity` tendrá un aspecto similar al siguiente. ``` { "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" } ``` **nota** Para desactivar el acceso público, usa un AWS CLI comando similar, pero con la siguiente información de conectividad en su lugar: ``` '{"PublicAccess": {"Type": "DISABLED"}}' ``` 1. Para obtener el resultado de la `update-connectivity` operación, ejecute el siguiente comando y *ClusterOperationArn* reemplácelo por el ARN que obtuvo en el resultado del `update-connectivity` comando. ``` aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn ``` El resultado de este comando `describe-cluster-operation` tendrá un aspecto similar al siguiente. ``` { "ClusterOperationInfo": { "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2019-06-20T21:08:57.735Z", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "UPDATE_COMPLETE", "OperationType": "UPDATE_CONNECTIVITY", "SourceClusterInfo": { "ConnectivityInfo": { "PublicAccess": { "Type": "DISABLED" } } }, "TargetClusterInfo": { "ConnectivityInfo": { "PublicAccess": { "Type": "SERVICE_PROVIDED_EIPS" } } } } } ``` Si `OperationState` tiene el valor `UPDATE_IN_PROGRESS`, espere un rato y vuelva a ejecutar el comando `describe-cluster-operation`. **Activación del acceso público mediante la API de Amazon MSK** + Para usar la API para activar o desactivar el acceso público a un clúster, consulte [UpdateConnectivity](https://docs.aws.amazon.com//msk/1.0/apireference/clusters-clusterarn-connectivity.html#UpdateConnectivity). **nota** Por motivos de seguridad, Amazon MSK no permite el acceso público a Apache ZooKeeper ni a los nodos KRaft del controlador.