Permissões para conectividade privada multi-VPC - Amazon Managed Streaming for Apache Kafka

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões para conectividade privada multi-VPC

Esta seção resume as permissões necessárias para clientes e clusters que usam o recurso de conectividade privada multi-VPC. A conectividade privada multi-VPC exige que o administrador do cliente crie permissões em cada cliente que terá uma conexão VPC gerenciada com o cluster do MSK. Isso também exige que o administrador do cluster do MSK habilite a PrivateLink conectividade no cluster do MSK e selecione esquemas de autenticação para controlar o acesso ao cluster.

Tipo de autenticação de cluster e permissões de acesso a tópicos

Ative o recurso de conectividade privada multi-VPC para esquemas de autenticação habilitados para seu cluster do MSK. Consulte Requisitos e limitações para conectividade privada multi-VPC. Se você estiver configurando seu cluster do MSK para usar o esquema de autenticação SASL/SCRAM, a propriedade Apache Kafka será obrigatória. ACLs allow.everyone.if.no.acl.found=false Após definir as Apache Kafka ACLs para seu cluster, atualize a configuração do cluster para que a propriedade allow.everyone.if.no.acl.found seja falsa para o cluster. Para obter informações sobre como atualizar a configuração de um cluster, consulte Operações de configuração do broker.

Permissões de política de cluster entre contas

Se um cliente Kafka estiver em uma AWS conta da diferente da conta do cluster do MSK, anexe uma política baseada em cluster ao cluster do MSK que autorize o usuário raiz do cliente a ter conectividade entre contas. Você pode editar a política de cluster multi-VPC usando o editor de políticas do IAM no console do MSK (Configurações de segurança do cluster > Editar política de cluster) ou usar o seguinte APIs para gerenciar a política de cluster:

PutClusterPolicy

Anexa a política de cluster ao cluster. Você pode usar essa API para criar ou atualizar a política de cluster do MSK especificada. Se você estiver atualizando a política, o campo currentVersion será obrigatório na carga da solicitação.

GetClusterPolicy

Recupera o texto JSON do documento de política de cluster anexado ao cluster.

DeleteClusterPolicy

Exclui a política de cluster.

Veja a seguir um exemplo do JSON para uma política básica de cluster, semelhante à política padrão apresentada no editor de políticas do IAM do console do MSK. A seguinte política concede permissões para acesso em nível de cluster, tópico e grupo.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "123456789012"
            ]
        },
        "Action": [
            "kafka-cluster:*",
            "kafka:CreateVpcConnection",
            "kafka:GetBootstrapBrokers",
            "kafka:DescribeCluster",
            "kafka:DescribeClusterV2"
        ],
        "Resource": [
            "arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2",
            "arn:aws:kafka:us-east-1:123456789012:topic/testing/*",
            "arn:aws:kafka:us-east-1:123456789012:group/testing/*"
        ]
    }]
}
Permissões de cliente para conectividade privada multi-VPC com um cluster do MSK

Para configurar a conectividade privada multi-VPC entre um cliente Kafka e um cluster do MSK, o cliente precisa ter uma política de identidade anexada que conceda permissões para as ações kafka:CreateVpcConnection, ec2:CreateTags e ec2:CreateVPCEndpoint no cliente. Para referência, este é um exemplo do JSON para uma política básica de identidade de cliente.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kafka:CreateVpcConnection",
        "ec2:CreateTags",
        "ec2:CreateVPCEndpoint"
      ],
      "Resource": "*"
    }
  ]
}