As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Etapa 3: ações de usuários entre contas para configurar conexões de VPC gerenciadas pelo cliente Para configurar a conectividade privada multi-VPC entre um cliente em uma conta diferente do cluster do MSK, o usuário entre contas cria uma conexão VPC gerenciada para o cliente. É possível conectar vários clientes ao cluster do MSK repetindo esse procedimento. Para fins desse caso de uso, você configurará apenas um cliente. Os clientes podem usar os esquemas de autenticação compatíveis IAM, SASL/SCRAM ou TLS. Cada conexão de VPC gerenciada só pode ter um esquema de autenticação associado a ela. O esquema de autenticação do cliente deve ser configurado no cluster do MSK ao qual o cliente se conectará. Para esse caso de uso, configure o esquema de autenticação do cliente para que o cliente na conta B use o esquema de autenticação do IAM. **Pré-requisitos** Esse processo requer os seguintes itens: + A política de cluster criada anteriormente que concede ao cliente na conta B permissão para realizar ações no cluster do MSK na conta A. + Uma política de identidade anexada ao cliente na conta B que concede permissões para as ações `kafka:CreateVpcConnection`, `ec2:CreateTags`, `ec2:CreateVPCEndpoint` e `ec2:DescribeVpcAttribute`. **Example** Para referência, este é um exemplo do JSON para uma política básica de identidade de cliente. **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateVpcConnection", "ec2:CreateTags", "ec2:CreateVPCEndpoint", "ec2:DescribeVpcAttribute" ], "Resource": "*" } ] } ``` **Para criar uma conexão de VPC gerenciada para um cliente na conta B** 1. Do administrador do cluster, obtenha o **ARN do cluster** do MSK na conta A ao qual você deseja que o cliente na conta B se conecte. Anote o ARN do cluster para usar posteriormente. 1. No console do MSK da conta B do cliente, escolha **Conexões VPC gerenciadas** e, em seguida, escolha **Criar conexão**. 1. No painel **Configurações de conexão**, cole o ARN do cluster no campo de texto ARN do cluster e escolha **Verificar**. 1. Selecione o **Tipo de autenticação** para o cliente na conta B. Para esse caso de uso, escolha IAM ao criar a conexão VPC do cliente. 1. Escolha a **VPC** para o cliente. 1. Escolha pelo menos duas **zonas** de disponibilidade e **sub-redes** associadas. Você pode obter a zona IDs de disponibilidade nos detalhes do cluster do AWS Management Console ou usando a [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API ou o comando da AWS CLI [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). A zona IDs que você especifica para a sub-rede do cliente deve corresponder às da sub-rede do cluster. Se os valores de uma sub-rede estiverem ausentes, primeiro crie uma sub-rede com o mesmo ID de zona do seu cluster do MSK. 1. Escolha um **Grupo de segurança** para essa conexão VPC. Você pode usar o grupo de segurança padrão. Para mais informações sobre a configuração de grupos de segurança, consulte [Controlar o tráfego para recursos usando grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html). 1. Selecione **Criar conexão**. 1. Para obter a lista das novas strings de agente de bootstrap no console do MSK do usuário entre contas (**Detalhes do cluster** > **Conexão VPC gerenciada**), consulte as strings de agente de bootstrap exibidas em “**Cadeia de conexão do cluster**”. Na Conta B do cliente, a lista de corretores de bootstrap pode ser visualizada chamando a [GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API ou visualizando a lista de corretores de bootstrap nos detalhes do cluster do console. 1. Atualize os grupos de segurança associados às conexões de VPC da seguinte forma: 1. Defina **regras de entrada** para a PrivateLink VPC para permitir todo o tráfego do intervalo de IP da rede da Conta B. 1. [Opcional] Defina as **regras de conectividade de saída** para o cluster do MSK. Escolha o **grupo de segurança** no console da VPC, **Editar regras de saída** e adicione uma regra para o **Tráfego TCP personalizado** para os intervalos de portas 14001-14100. O Network Load Balancer multi-VPC está escutando nos intervalos de portas 14001-14100. Consulte [Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html). 1. Configure o cliente na conta B para usar os novos agentes de bootstrap para conectividade privada multi-VPC para se conectar ao cluster do MSK na conta A. Consulte [Produzir e consumir dados](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html). Após a conclusão da autorização, o Amazon MSK criará uma conexão VPC gerenciada para cada VPC e esquema de autenticação especificados. O grupo de segurança escolhido será associado a cada conexão. Essa conexão VPC gerenciada é configurada pelo Amazon MSK para se conectar de maneira privada aos agentes. Você pode usar o novo conjunto de agentes de bootstrap para se conectar de maneira privada ao cluster do Amazon MSK.