Utiliser les API Amazon MSK avec les points de terminaison VPC d'interface

Vous pouvez utiliser un point de terminaison VPC d'interface, alimenté par AWS PrivateLink, pour empêcher le trafic entre votre Amazon VPC et les API Amazon MSK de quitter le réseau Amazon. Les points de terminaison VPC d'interface ne nécessitent pas de passerelle Internet, de périphérique NAT, de connexion VPN ou de connexion Direct AWS Connect. AWS PrivateLinkest une AWS technologie qui permet une communication privée entre les AWS services à l'aide d'une interface réseau élastique avec des adresses IP privées dans votre Amazon VPC. Pour plus d'informations, consultez Amazon Virtual Private Cloud and Interface VPC Endpoints ().AWS PrivateLink

Vos applications peuvent se connecter aux API Amazon MSK Provisioned et MSK Connect à l'aide de. AWS PrivateLink Pour commencer, créez un point de terminaison VPC d'interface pour votre API Amazon MSK afin de démarrer le trafic en provenance et à destination de vos ressources Amazon VPC via le point de terminaison VPC d'interface. FIPS-enabled Les points de terminaison VPC d'interface sont disponibles pour les régions des États-Unis. Pour plus d'informations, consultez la section Créer un point de terminaison d'interface.

Grâce à cette fonctionnalité, vos clients Apache Kafka peuvent récupérer dynamiquement les chaînes de connexion pour se connecter aux ressources MSK Provisioned ou MSK Connect sans passer par Internet pour récupérer les chaînes de connexion.

Lors de la création d'un point de terminaison VPC d'interface, choisissez l'un des points de terminaison de nom de service suivants :

Pour configurer les points de terminaison à double pile, vous devez suivre les directives relatives aux points de terminaison Dual-stack FIPS.

Où est le nom de votre région. Choisissez ce nom de service pour travailler avec les Provisioned-compatible API MSK. Pour plus d'informations, consultez la section Opérations dans le https://docs.aws.amazon.com/msk/1.0/apireference/.

Où est le nom de votre région. Choisissez ce nom de service pour travailler avec les Connect-compatible API MSK. Pour plus d'informations, consultez Actions dans le manuel Amazon MSK Connect API Reference.

Pour plus d'informations, y compris des instructions détaillées pour créer un point de terminaison VPC d'interface, consultez la section Création d'un point de terminaison d'interface dans le AWS PrivateLink Guide.

Contrôlez l'accès aux points de terminaison VPC pour les API Amazon MSK Provisioned ou MSK Connect

Les politiques de point de terminaison VPC vous permettent de contrôler l'accès en attachant une politique à un point de terminaison VPC ou en utilisant des champs supplémentaires dans une politique attachée à un utilisateur, un groupe ou un rôle IAM afin de limiter l'accès uniquement via le point de terminaison VPC spécifié. Utilisez l'exemple de politique approprié pour définir les autorisations d'accès pour le service MSK Provisioned ou MSK Connect.

Si vous n’attachez pas de stratégie quand vous créez un point de terminaison, Amazon VPC attache une stratégie par défaut pour vous qui autorise un accès total au service. Une politique de point de terminaison n’annule pas et ne remplace pas les politiques IAM ou les politiques spécifiques aux services. Il s’agit d’une politique distincte qui contrôle l’accès depuis le point de terminaison jusqu’au service spécifié.

Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des points de terminaison VPC dans le guide.AWS PrivateLink