Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Activer l'accès public à un cluster provisionné par MSK Amazon MSK vous donne la possibilité d'activer l'accès public aux courtiers des clusters provisionnés par MSK exécutant Apache Kafka 2.6.0 ou des versions ultérieures. Pour des raisons de sécurité, vous ne pouvez pas activer l'accès public lors de la création d'un cluster MSK. Toutefois, vous pouvez mettre à jour un cluster existant pour le rendre accessible au public. Vous pouvez également créer un cluster, puis le mettre à jour pour le rendre accessible au public. Vous pouvez activer l'accès public à un cluster MSK sans frais supplémentaires, mais les coûts de transfert de AWS données standard s'appliquent pour le transfert de données vers et depuis le cluster. Pour plus d'informations sur la tarification, consultez [Tarification à la demande Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/). Les clusters provisionnés Amazon MSK dotés d'un type de réseau à double pile prennent en charge à la fois la IPv6 connectivité IPv4 et l'accès public. Lorsque l'accès public est activé sur votre cluster, les mêmes chaînes de IPv6 démarrage fonctionnent automatiquement pour la connectivité par défaut et pour la connectivité d'accès public. Vos chaînes IPv4 bootstrap existantes continueront de fonctionner pour la IPv4 connectivité. Notez que si l'accès public n'est pas activé sur votre cluster, les chaînes IPv6 bootstrap ne seront pas accessibles au public. Pour plus d'informations, consultez Configurer le type de réseau à double pile pour un cluster Amazon MSK. **Note** Si vous utilisez les méthodes de contrôle d'accès SASL/SCRAM ou mTLS, vous devez d'abord configurer Apache Kafka pour votre cluster. ACLs Mettez ensuite à jour la configuration du cluster pour définir la `allow.everyone.if.no.acl.found` propriété sur false. Pour de plus amples informations sur la manière de mettre à jour la configuration d'un cluster, consultez [Opérations de configuration du broker](msk-configuration-operations.md). Pour activer l'accès public à un cluster provisionné par MSK, assurez-vous que le cluster répond à toutes les conditions suivantes : + Les sous-réseaux associés au cluster doivent être publics. Chaque sous-réseau public est associé à une IPv4 adresse publique et les IPv4 adresses publiques sont facturées comme indiqué sur la page de tarification [d'Amazon VPC](https://aws.amazon.com/vpc/pricing/). Cela signifie que les sous-réseaux doivent avoir une table de routage associée à une passerelle Internet. Pour plus d'informations sur la création et l'attachement d'une passerelle Internet, consultez la section [Activer l'accès Internet VPC à l'aide de passerelles Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) dans le guide de l'utilisateur Amazon *VPC*. + Le contrôle d'accès non authentifié doit être désactivé et au moins l'une des méthodes de contrôle d'accès suivantes doit être activée :, mTLS. SASL/IAM, SASL/SCRAM Pour de plus amples informations sur la manière de mettre à jour la méthode de contrôle d'accès d'un cluster, consultez [Mettre à jour les paramètres de sécurité d'un cluster Amazon MSK](msk-update-security.md). + Le chiffrement au sein du cluster doit être activé. Le paramètre Activé est la valeur par défaut lors de la création d'un cluster. Il n'est pas possible d'activer le chiffrement au sein du cluster pour un cluster créé alors qu'il était désactivé. Il n'est dès lors pas possible d'activer l'accès public pour un cluster créé alors que le chiffrement était désactivé. + Le trafic en texte brut entre les agents et les clients doit être désactivé. Pour plus d'informations sur la manière de le désactiver s'il est activé, consultez [Mettre à jour les paramètres de sécurité d'un cluster Amazon MSK](msk-update-security.md). + Si vous utilisez le contrôle d'accès IAM et que vous souhaitez appliquer des politiques d'autorisation ou mettre à jour vos politiques d'autorisation, consultez[Contrôle d'accès IAM](iam-access-control.md). Pour plus d'informations sur Apache Kafka ACLs, consultez[Apache Kafka ACLs](msk-acls.md). Une fois que vous vous êtes assuré qu'un cluster MSK répond aux conditions répertoriées ci-dessus, vous pouvez utiliser l' AWS Management Console API Amazon MSK ou l'API Amazon MSK pour activer l'accès public. AWS CLI Après avoir activé l'accès public à un cluster, vous pouvez obtenir une chaîne bootstrap-brokers publique pour celui-ci. Pour de plus amples informations sur l'obtention des agents d'amorçage pour un cluster, consultez [Obtenez les courtiers bootstrap pour un cluster Amazon MSK](msk-get-bootstrap-brokers.md). **Important** Outre l'activation de l'accès public, assurez-vous que les groupes de sécurité du cluster disposent de règles TCP entrantes qui autorisent l'accès public à partir de votre adresse IP. Nous vous recommandons de rendre ces règles aussi restrictives que possible. Pour plus d'informations sur les groupes de sécurité et les règles entrantes, consultez [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) dans le Guide de l'utilisateur Amazon VPC. Pour les numéros de port, consultez [Informations sur le port](port-info.md). Pour obtenir des instructions sur la manière de modifier le groupe de sécurité d'un cluster, consultez [Modification du groupe de sécurité d'un cluster Amazon MSK](change-security-group.md). **Note** Si vous utilisez les instructions suivantes pour activer l'accès public et que vous ne parvenez toujours pas à accéder au cluster, consultez [Impossible d'accéder au cluster dont l'accès public est activé](troubleshooting.md#public-access-issues). **Activation de l'accès public à l'aide de la console** 1. Connectez-vous à la AWS Management Console console Amazon MSK et ouvrez-la [https://console.aws.amazon.com/msk/chez vous ? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/). 1. Dans la liste des clusters, choisissez le cluster pour lequel vous souhaitez activer l'accès public. 1. Choisissez l'onglet **Propriétés**, puis recherchez la section **Paramètres réseau**. 1. Choisissez **Modifier l'accès public**. **Activation de l'accès public à l'aide du AWS CLI** 1. Exécutez la AWS CLI commande suivante en *Current-Cluster-Version* remplaçant *ClusterArn* et par l'ARN et la version actuelle du cluster. Pour trouver la version actuelle du cluster, utilisez l'[DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)opération ou la commande [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html) AWS CLI . Voici un exemple de version : `KTVPDKIKX0DER`. ``` aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}' ``` La sortie de cette commande `update-connectivity` ressemble à l'exemple JSON suivant. ``` { "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" } ``` **Note** Pour désactiver l'accès public, utilisez une AWS CLI commande similaire, mais avec les informations de connectivité suivantes à la place : ``` '{"PublicAccess": {"Type": "DISABLED"}}' ``` 1. Pour obtenir le résultat de l'`update-connectivity`opération, exécutez la commande suivante en la *ClusterOperationArn* remplaçant par l'ARN que vous avez obtenu dans le résultat de la `update-connectivity` commande. ``` aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn ``` La sortie de cette commande `describe-cluster-operation` ressemble à l'exemple JSON suivant. ``` { "ClusterOperationInfo": { "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2019-06-20T21:08:57.735Z", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "UPDATE_COMPLETE", "OperationType": "UPDATE_CONNECTIVITY", "SourceClusterInfo": { "ConnectivityInfo": { "PublicAccess": { "Type": "DISABLED" } } }, "TargetClusterInfo": { "ConnectivityInfo": { "PublicAccess": { "Type": "SERVICE_PROVIDED_EIPS" } } } } } ``` Si `OperationState` a la valeur `UPDATE_IN_PROGRESS`, attendez un moment, puis exécutez à nouveau la commande `describe-cluster-operation`. **Activation de l'accès public à l'aide de l'API Amazon MSK** + Pour utiliser l'API afin d'activer ou de désactiver l'accès public à un cluster, consultez [UpdateConnectivity](https://docs.aws.amazon.com//msk/1.0/apireference/clusters-clusterarn-connectivity.html#UpdateConnectivity). **Note** Pour des raisons de sécurité, Amazon MSK n'autorise pas l'accès public aux nœuds Apache ZooKeeper ou aux nœuds de KRaft contrôleur.