As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões para conectividade privada multi-VPC
Esta seção resume as permissões necessárias para clientes e clusters que usam o recurso de conectividade privada multi-VPC. A conectividade privada multi-VPC exige que o administrador do cliente crie permissões em cada cliente que terá uma conexão VPC gerenciada com o cluster do MSK. Isso também exige que o administrador do cluster do MSK habilite a PrivateLink conectividade no cluster do MSK e selecione esquemas de autenticação para controlar o acesso ao cluster.
Tipo de autenticação de cluster e permissões de acesso a tópicos
Ative o recurso de conectividade privada multi-VPC para esquemas de autenticação habilitados para seu cluster do MSK. Consulte Requisitos e limitações para conectividade privada multi-VPC. Se você estiver configurando seu cluster do MSK para usar o esquema de autenticação SASL/SCRAM, a propriedade Apache Kafka será obrigatória. ACLs allow.everyone.if.no.acl.found=false
Após definir as Apache Kafka ACLs para seu cluster, atualize a configuração do cluster para que a propriedade allow.everyone.if.no.acl.found
seja falsa para o cluster. Para obter informações sobre como atualizar a configuração de um cluster, consulte Operações de configuração do broker.
Permissões de política de cluster entre contas
Se um cliente Kafka estiver em uma AWS conta da diferente da conta do cluster do MSK, anexe uma política baseada em cluster ao cluster do MSK que autorize o usuário raiz do cliente a ter conectividade entre contas. Você pode editar a política de cluster multi-VPC usando o editor de políticas do IAM no console do MSK (Configurações de segurança do cluster > Editar política de cluster) ou usar o seguinte APIs para gerenciar a política de cluster:
- PutClusterPolicy
-
Anexa a política de cluster ao cluster. Você pode usar essa API para criar ou atualizar a política de cluster do MSK especificada. Se você estiver atualizando a política, o campo currentVersion será obrigatório na carga da solicitação.
- GetClusterPolicy
-
Recupera o texto JSON do documento de política de cluster anexado ao cluster.
- DeleteClusterPolicy
-
Exclui a política de cluster.
Veja a seguir um exemplo do JSON para uma política básica de cluster, semelhante à política padrão apresentada no editor de políticas do IAM do console do MSK. A seguinte política concede permissões para acesso em nível de cluster, tópico e grupo.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "kafka-cluster:*", "kafka:CreateVpcConnection", "kafka:GetBootstrapBrokers", "kafka:DescribeCluster", "kafka:DescribeClusterV2" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2", "arn:aws:kafka:us-east-1:123456789012:topic/testing/*", "arn:aws:kafka:us-east-1:123456789012:group/testing/*" ] }] }
Permissões de cliente para conectividade privada multi-VPC com um cluster do MSK
Para configurar a conectividade privada multi-VPC entre um cliente Kafka e um cluster do MSK, o cliente precisa ter uma política de identidade anexada que conceda permissões para as ações kafka:CreateVpcConnection
, ec2:CreateTags
e ec2:CreateVPCEndpoint
no cliente. Para referência, este é um exemplo do JSON para uma política básica de identidade de cliente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateVpcConnection", "ec2:CreateTags", "ec2:CreateVPCEndpoint" ], "Resource": "*" } ] }