Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Passaggio 3: operazioni dell'utente multi-account per configurare connessioni VPC gestite dal client Per configurare la connettività privata multi-VPC tra un client in un account diverso dal cluster MSK, l'utente multi-account crea una connessione VPC gestita per il client. È possibile connettere più client al cluster MSK ripetendo questa procedura. Ai fini di questo caso d'uso, configurerai un solo client. I client possono utilizzare gli schemi di autenticazione supportati IAM, SASL/SCRAM o TLS. A ogni connessione VPC gestita può essere associato un solo schema di autenticazione. Lo schema di autenticazione del client deve essere configurato nel cluster MSK a cui il client si connetterà. In questo caso d'uso, configura lo schema di autenticazione del client in modo che il client nell'account B utilizzi lo schema di autenticazione IAM. **Prerequisiti** Questo processo richiede i seguenti elementi: + La policy del cluster creata in precedenza che concede al client dell'account B l'autorizzazione a eseguire operazioni sul cluster MSK nell'account A. + Una politica di identità allegata al client nell'Account B che concede autorizzazioni e azioni`kafka:CreateVpcConnection`. `ec2:CreateTags` `ec2:CreateVPCEndpoint` `ec2:DescribeVpcAttribute` **Example** A titolo di riferimento, di seguito è riportato un esempio di JSON per una policy di identità del client di base. **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateVpcConnection", "ec2:CreateTags", "ec2:CreateVPCEndpoint", "ec2:DescribeVpcAttribute" ], "Resource": "*" } ] } ``` **Creazione di una connessione VPC gestita per un client nell'account B** 1. Dall'amministratore del cluster, ottieni l'**ARN del cluster** MSK nell'account A al quale desideri che il client nell'account B si connetta. Prendi nota dell'ARN del cluster da utilizzare in seguito. 1. Nella console MSK per l'account client B, scegli **Connessioni VPC gestite**, quindi scegli **Crea connessione**. 1. Nel riquadro **Impostazioni di connessione**, incolla l'ARN del cluster nel campo di testo ARN del cluster, quindi scegli **Verifica**. 1. Seleziona **Tipo di autenticazione** per il client nell'account B. Per questo caso d'uso, scegli IAM quando crei la connessione VPC del client. 1. Scegli il **VPC** per il client. 1. Scegli almeno due **zone** di disponibilità e **sottoreti** associate. È possibile ottenere la zona di disponibilità IDs dai dettagli del cluster della Console di AWS gestione o utilizzando l'[DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API o il comando AWS CLI [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). La zona specificata per la sottorete client deve corrispondere a IDs quella della sottorete del cluster. Se mancano i valori per una sottorete, crea innanzitutto una sottorete con lo stesso ID di zona del cluster MSK. 1. Scegli un **Gruppo di sicurezza** per questa connessione VPC. È possibile accettare il gruppo di sicurezza predefinito. Per ulteriori informazioni sulla configurazione di un gruppo di sicurezza, consulta la pagina [Control traffic to resources using security groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html). 1. Seleziona **Crea connessione**. 1. Per ottenere l'elenco delle nuove stringhe del broker di bootstrap dalla console MSK dell'utente multi-account (Dettagli del **cluster** > **Connessione VPC gestita**), consulta le stringhe del broker di bootstrap mostrate in "**Stringa di connessione al cluster**". Dall'account B del cliente, è possibile visualizzare l'elenco dei broker bootstrap richiamando l'[GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API o visualizzando l'elenco dei broker bootstrap nei dettagli del cluster della console. 1. Aggiorna i gruppi di sicurezza associati alle connessioni VPC come segue: 1. Imposta **le regole in entrata** per il PrivateLink VPC per consentire tutto il traffico per l'intervallo IP dalla rete dell'Account B. 1. [Facoltativo] Imposta la connettività delle **Regole in uscita** al cluster MSK. Scegli il **Gruppo di sicurezza** nella console VPC, **Modifica le regole in uscita** e aggiungi una regola per il **Traffico TCP personalizzato** per gli intervalli di porte 14001-14100. Il Network Load Balancer multi-VPC è in ascolto sugli intervalli di porte 14001-14100. Consulta la pagina [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html). 1. Configura il client nell'account B per utilizzare i nuovi broker di bootstrap per la connettività privata multi-VPC per connettersi al cluster MSK nell'account A. Consulta la sezione [Produzione e utilizzo di dati](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html). Una volta completata l'autorizzazione, Amazon MSK crea una connessione VPC gestita per ogni VPC e schema di autenticazione specificati. Il gruppo di sicurezza scelto è associato a ciascuna connessione. Questa connessione VPC gestita è configurata da Amazon MSK per connettersi privatamente ai broker. Puoi utilizzare il nuovo set di broker di bootstrap per connetterti privatamente al cluster Amazon MSK.