翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # ステップ 3: クライアント管理の VPC 接続を設定するためのクロスアカウントユーザーの操作 MSK クラスターとは別のアカウントのクライアント間にマルチ VPC プライベート接続を設定するには、クロスアカウントユーザーがクライアントのマネージド VPC 接続を作成します。この手順を繰り返すことで、複数のクライアントを MSK クラスターに接続できます。このユースケースでは、クライアントを 1 つだけ設定します。 クライアントは、サポートされている認証スキームである、IAM、SASL/SCRAM、または TLS を使用できます。各マネージド VPC 接続に関連付けることができる認証スキームは 1 つのみです。クライアント認証スキームは、クライアントが接続する MSK クラスターで設定する必要があります。 このユースケースでは、アカウント B のクライアントが IAM 認証スキームを使用するようにクライアント認証スキームを設定します。 **前提条件** このプロセスには、以下の項目が必要です。 + アカウント A の MSK クラスターでアクションを実行するアクセス許可をアカウント B のクライアントに付与する、以前に作成したクラスターポリシー。 + アカウント B のクライアントにアタッチされた、`kafka:CreateVpcConnection`、`ec2:CreateTags`、`ec2:CreateVPCEndpoint`、`ec2:DescribeVpcAttribute` のアクションのアクセス許可を付与する ID ポリシー。 **Example** 参考までに、基本的なクライアント ID ポリシーの JSON の例を以下に示します。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateVpcConnection", "ec2:CreateTags", "ec2:CreateVPCEndpoint", "ec2:DescribeVpcAttribute" ], "Resource": "*" } ] } ``` **アカウント B のクライアントのマネージド VPC 接続を作成するには** 1. クラスター管理者から、アカウント B のクライアントの接続先となるアカウント A の MSK クラスターの**クラスター ARN** を取得します。クラスター ARN は、後で使用するため書き留めておきます。 1. クライアントアカウント B の MSK コンソールで、**[マネージド VPC 接続]** を選択し、**[接続の作成]** を選択します。 1. **[接続設定]** ペインで、クラスター ARN をクラスター ARN テキストフィールドに貼り付け、**[検証]** を選択します。 1. アカウント B のクライアントの **[認証タイプ]** を選択します。このユースケースでは、クライアント VPC 接続を作成するときに IAM を選択します。 1. クライアントの **[VPC]** を選択します。 1. 少なくとも 2 つのアベイラビリティー**ゾーン**と、関連付けられた**サブネット**を選択します。アベイラビリティーゾーン IDs は、 AWS マネジメントコンソールクラスターの詳細から、または [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster) API または [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html) AWS CLI コマンドを使用して取得できます。クライアントサブネットに指定するゾーン ID は、クラスターサブネットの ID と一致する必要があります。サブネットの値が見つからない場合は、まず MSK クラスターと同じゾーン ID でサブネットを作成します。 1. この VPC 接続の**セキュリティグループ**を選択します。デフォルトのセキュリティグループを使用できます。セキュリティグループの詳細については、「[セキュリティグループを使用してリソースへのトラフィックを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)」を参照してください。 1. **[接続の作成]** を選択します。 1. クロスアカウントユーザーの MSK コンソール (**[クラスター]** の詳細 > **[マネージド VPC 接続]**) から新しいブートストラップブローカー文字列のリストを取得するには、**[クラスター接続文字列]** の下に表示されているブートストラップブローカー文字列を確認します。クライアントアカウント B からブートストラップブローカーのリストを表示するには、[GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers) API を呼び出すか、コンソールクラスターの詳細でブートストラップブローカーのリストを表示します。 1. VPC 接続に関連付けられたセキュリティグループを次のように更新します。 1. PrivateLink VPC の**インバウンドルール**を設定して、アカウント B ネットワークからの IP 範囲のすべてのトラフィックを許可します。 1. (オプション) MSK クラスターへの **[アウトバウンドルール]** 接続を設定します。VPC コンソールで **[セキュリティグループ]** を選択し、**[アウトバウンドルールの編集]** を行い、ポート範囲 14001~14100 の **[カスタム TCP トラフィック]** のルールを追加します。マルチ VPC ネットワークロードバランサーは、14001~14100 のポート範囲をリッスンしています。「[Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html)」を参照してください。 1. マルチ VPC プライベート接続用の新しいブートストラップブローカーを使用してアカウント A の MSK クラスターに接続するように、アカウント B のクライアントを設定します。「[データを生成および消費する](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html)」を参照してください。 認可が完了すると、Amazon MSK は指定された VPC および認可スキームごとにマネージド VPC 接続を作成します。選択したセキュリティグループは各接続に関連付けられます。このマネージド VPC 接続は、ブローカーにプライベート接続するように Amazon MSK によって設定されます。新しいブートストラップブローカーのセットを使用して、Amazon MSK クラスターにプライベート接続できます。