Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations pour la connectivité privée à plusieurs VPC
Cette section résume les autorisations requises pour les clients et les clusters à l'aide de la fonctionnalité de connectivité privée à plusieurs VPC. La connectivité privée à plusieurs VPC nécessite que l'administrateur du client crée des autorisations pour chaque client qui disposera d'une connexion VPC gérée au cluster MSK. Cela nécessite également que l'administrateur du cluster MSK active la PrivateLink connectivité sur le cluster MSK et sélectionne des schémas d'authentification pour contrôler l'accès au cluster.
Type d'authentification du cluster et autorisations d'accès aux rubriques
Activez la fonctionnalité de connectivité privée à plusieurs VPC pour les schémas d'authentification activés pour votre cluster MSK. Consultez Exigences et limites relatives à la connectivité privée à plusieurs VPC. Si vous configurez votre cluster MSK pour utiliser le schéma d'authentification SASL/SCRAM, la propriété Apache Kafka est obligatoire. ACLs allow.everyone.if.no.acl.found=false Après avoir défini les Apache Kafka ACLs pour votre cluster, mettez à jour la configuration du cluster pour que la propriété allow.everyone.if.no.acl.found soit définie sur false pour le cluster. Pour de plus amples informations sur la manière de mettre à jour la configuration d'un cluster, consultez Opérations de configuration du broker.
Autorisations de politique de cluster intercompte
Si un client Kafka est dans un AWS compte différent de celui du cluster MSK, attachez au cluster MSK une politique basée sur le cluster qui autorise l'utilisateur root du client à établir une connectivité intercompte. Vous pouvez modifier la politique de cluster à plusieurs VPC à l'aide de l'éditeur de politiques IAM de la console MSK (paramètres de sécurité du cluster > Modifier la politique de cluster) ou utiliser les éléments suivants APIs pour gérer la politique de cluster :
- PutClusterPolicy
-
Attache une politique de cluster au cluster. Vous pouvez utiliser cette API pour créer ou mettre à jour la politique de cluster MSK spécifiée. Si vous mettez à jour la politique, le champ CurrentVersion est obligatoire dans la charge utile de la demande.
- GetClusterPolicy
-
Récupère le texte JSON du document de politique de cluster attaché au cluster.
- DeleteClusterPolicy
-
Supprime la politique de cluster.
Voici un exemple du JSON pour une politique de cluster de base, similaire à celle affichée dans l'éditeur de politiques IAM de la console MSK. La politique suivante accorde l'autorisation d'accéder au niveau du cluster, une rubrique et un groupe.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "kafka-cluster:*", "kafka:CreateVpcConnection", "kafka:GetBootstrapBrokers", "kafka:DescribeCluster", "kafka:DescribeClusterV2" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2", "arn:aws:kafka:us-east-1:123456789012:topic/testing/*", "arn:aws:kafka:us-east-1:123456789012:group/testing/*" ] }] }
Autorisations client pour la connectivité privée à plusieurs VPC à un cluster MSK
Pour configurer une connectivité privée à plusieurs VPC entre un client Kafka et un cluster MSK, le client a besoin d'une politique d'identité attachée qui accorde des autorisations pour des actions kafka:CreateVpcConnection, ec2:CreateTags et ec2:CreateVPCEndpoint sur le client. À titre de référence, voici un exemple du JSON pour une politique d'identité client de base.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateVpcConnection", "ec2:CreateTags", "ec2:CreateVPCEndpoint" ], "Resource": "*" } ] }
