Configuration des ressources requises pour MSK Connect - Amazon Managed Streaming for Apache Kafka

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des ressources requises pour MSK Connect

Au cours de cette étape, vous créez les ressources suivantes dont vous avez besoin pour ce scénario de mise en route :

  • Un compartiment Amazon S3 destiné à servir de destination pour recevoir les données du connecteur.

  • Un cluster MSK auquel vous allez envoyer des données. Le connecteur lira ensuite les données de ce cluster et les enverra au compartiment S3 de destination.

  • Une politique IAM qui contient les autorisations d'écriture dans le compartiment S3 de destination.

  • Un rôle IAM qui permet au connecteur d'écrire dans le compartiment S3 de destination. Vous allez ajouter la stratégie IAM que vous créez à ce rôle.

  • Le point de terminaison d'un VPC Amazon permettant d'envoyer des données depuis le VPC Amazon qui possède le cluster et le connecteur vers Amazon S3.

Pour créer le compartiment S3

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Choisissez Créer un compartiment.

  3. Pour le nom du compartiment, entrez un nom descriptif, tel que amzn-s3-demo-bucket-mkc-tutorial.

  4. Faites défiler l'écran vers le bas et choisissez Créer un compartiment.

  5. Dans la liste des compartiments, choisissez le compartiment que vous venez de créer.

  6. Choisissez Créer un dossier.

  7. Entrez tutorial comme nom de dossier, puis faites défiler l'écran vers le bas et choisissez Créer un dossier.

Pour créer le cluster

  1. Ouvrez la console Amazon MSK https://console.aws.amazon.com/msk/chez vous ? region=us-easeaseaseaseaseaseaseaseaseaseaseaseaseaseaseaseast-1

  2. Dans le volet de gauche, sous Clusters MSK, sélectionnez Clusters.

  3. Choisissez Créer un cluster.

  4. Dans Méthode de création, choisissez Création personnalisée.

  5. Comme nom de cluster, saisissez mkc-tutorial-cluster.

  6. Dans Type de cluster, choisissez Provisioned.

  7. Choisissez Suivant.

  8. Sous Mise en réseau, choisissez un VPC Amazon. Sélectionnez ensuite les zones de disponibilité et les sous-réseaux que vous voulez utiliser. N'oubliez pas le IDs VPC Amazon et les sous-réseaux que vous avez sélectionnés, car vous en aurez besoin plus tard dans ce didacticiel.

  9. Choisissez Suivant.

  10. Sous Méthodes de contrôle d'accès, assurez-vous que seul l'accès non authentifié est sélectionné.

  11. Sous Chiffrement, assurez-vous que seul le texte brut est sélectionné.

  12. Continuez à utiliser l'assistant, puis choisissez Créer un cluster. Vous accédez alors à la page Détails du cluster. Sur cette page, sous Groupes de sécurité appliqués, recherchez l'ID du groupe de sécurité. N'oubliez pas cet ID, car vous en aurez besoin ultérieurement dans ce didacticiel.

Pour créer une politique IAM avec les autorisations d'écriture dans le compartiment S3

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Politiques.

  3. Choisissez Create Policy (Créer une politique).

  4. Dans l'éditeur de politiques, choisissez JSON, puis remplacez le JSON dans la fenêtre de l'éditeur par le JSON suivant.

    Dans l'exemple suivant, remplacez <amzn-s3-demo-bucket-my-tutorial> par le nom de votre compartiment S3.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowListBucket",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetBucketLocation"
      ],
      "Resource": "arn:aws:s3:::<amzn-s3-demo-bucket-my-tutorial>"
    },
    {
      "Sid": "AllowObjectActions",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject",
        "s3:AbortMultipartUpload",
        "s3:ListMultipartUploadParts",
        "s3:ListBucketMultipartUploads"
      ],
      "Resource": "arn:aws:s3:::<amzn-s3-demo-bucket-my-tutorial>/*"
    }
  ]
}

    Pour obtenir des instructions sur la rédaction de politiques sécurisées, consultezContrôle d'accès IAM.

  5. Choisissez Suivant.

  6. Sur la page Examiner et créer, procédez comme suit :

    1. Pour Policy name (Nom de la politique), saisissez un nom descriptif, tel quemkc-tutorial-policy.

    2. Dans Autorisations définies dans cette politique, passez en revue et/ou modifiez les autorisations définies dans votre politique.

    3. (Facultatif) Pour identifier, organiser ou rechercher la politique, choisissez Add new tag (Ajouter une nouvelle étiquette) pour ajouter des identifications sous forme de paires clé-valeur. Par exemple, ajoutez une balise à votre politique avec la paire clé-valeur et. Environment Test

      Pour plus d'informations sur l'utilisation des balises, consultez la section Balises pour les AWS Identity and Access Management ressources dans le guide de l'utilisateur IAM.

  7. Choisissez Create Policy (Créer une politique).

Pour créer le rôle IAM capable d'écrire dans le compartiment de destination

  1. Dans le volet de navigation de la console IAM, choisissez Roles, puis Create role.

  2. Sur la page Select trusted entity (Sélectionner une entité de confiance), procédez comme suit :

    1. Pour Trusted entity (Entité de confiance), choisissez Service AWS.

    2. Pour Service ou cas d'utilisation, choisissez S3.

    3. Sous Cas d'utilisation, choisissez S3.

  3. Choisissez Suivant.

  4. Sur la page Add permissions (Ajouter des autorisations), procédez comme suit :

    1. Dans la zone de recherche sous Politiques d'autorisations, saisissez le nom de la politique que vous avez créée précédemment pour ce didacticiel. Par exemple, mkc-tutorial-policy. Ensuite, cochez la case située à gauche du nom de la politique.

    2. (Facultatif) Définissez une limite d'autorisations. Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service. Pour plus d'informations sur la définition d'une limite d'autorisations, consultez la section Création de rôles et attachement de politiques (console) dans le guide de l'utilisateur IAM.

  5. Choisissez Suivant.

  6. Sur la page Name, review, and create (Nommer, vérifier et créer), procédez comme suit :

    1. Pour Nom du rôle, entrez un nom descriptif, tel quemkc-tutorial-role.

      Important

      Lorsque vous nommez un rôle, notez ce qui suit :

      • Les noms de rôle doivent être uniques au sein de votre Compte AWS, et ne peuvent pas être rendus uniques par la casse.

        Par exemple, ne créez pas deux rôles nommés PRODROLE et prodrole. Lorsqu’un nom de rôle est utilisé dans une politique ou dans le cadre d’un ARN, le nom de rôle est sensible à la casse. Cependant, lorsqu’un nom de rôle apparaît aux clients dans la console, par exemple lors de la procédure d’ouverture de session, le nom de rôle est insensible à la casse.

      • Vous ne pouvez pas modifier le nom du rôle après sa création, car d’autres entités pourraient y faire référence.

    2. (Facultatif) Pour Description, saisissez la description du rôle.

    3. (Facultatif) Pour modifier les cas d'utilisation et les autorisations du rôle, dans les sections Étape 1 : sélectionner les entités de confiance ou Étape 2 : ajouter des autorisations, sélectionnez Modifier.

    4. (Facultatif) Pour identifier, organiser ou rechercher le rôle, choisissez Add new tag (Ajouter une nouvelle étiquette) pour ajouter des identifications sous forme de paires clé-valeur. Par exemple, ajoutez une balise à votre rôle avec la paire clé-valeur et. ProductManager John

      Pour plus d'informations sur l'utilisation des balises, consultez la section Balises pour les AWS Identity and Access Management ressources dans le guide de l'utilisateur IAM.

  7. Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).

Pour autoriser MSK Connect à assumer le rôle

  1. Dans le volet gauche de la console IAM, sous Gestion des accès, sélectionnez Rôles.

  2. Recherchez mkc-tutorial-role et choisissez-le.

  3. Sur la page Récapitulatif du rôle, choisissez l'onglet Relations d'approbation.

  4. Choisissez Modifier la relation d’approbation.

  5. Remplacez la politique d'approbation existante par le code JSON suivant.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "kafkaconnect.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Choisissez Mettre à jour la politique d'approbation.

Pour créer un point de terminaison d'un VPC Amazon à partir du VPC du cluster vers Amazon S3

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet gauche, sélectionnez Points de terminaison.

  3. Choisissez Créer un point de terminaison.

  4. Sous Nom du service, sélectionnez le service com.amazonaws.us-east-1.s3 et le type de passerelle.

  5. Choisissez le VPC du cluster, puis cochez la case située à gauche de la table de routage associée aux sous-réseaux du cluster.

  6. Choisissez Créer un point de terminaison.

Étape suivante

Créez un plugin personnalisé