本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 步骤 3:用于配置客户端托管的 VPC 连接的跨账户用户操作 要在与 MSK 集群不同的账户中的客户端之间设置多 VPC 私有连接,跨账户用户需要为该客户端创建托管式 VPC 连接。重复此程序,即可将多个客户端连接到 MSK 集群。在本用例中,您只需要配置一个客户端。 客户端可以使用支持的身份验证方案 IAM、SASL/SCRAM 或 TLS。每个托管式 VPC 连接只能与一个身份验证方案关联。必须在客户端将要连接的 MSK 集群上配置客户端身份验证方案。 对于此用例,请配置客户端身份验证方案,以便账户 B 中的客户端使用 IAM 身份验证方案。 **先决条件** 此过程需要以下项目: + 先前创建的集群策略,可向账户 B 中的客户端授予对账户 A 中的 MSK 集群执行操作的权限。 + 附加到账户 B 中客户端的身份策略,可授予 `kafka:CreateVpcConnection`、`ec2:CreateTags`、`ec2:CreateVPCEndpoint` 和 `ec2:DescribeVpcAttribute` 操作的权限。 **Example** 以下是基本客户端身份策略的 JSON 示例,供您参考。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateVpcConnection", "ec2:CreateTags", "ec2:CreateVPCEndpoint", "ec2:DescribeVpcAttribute" ], "Resource": "*" } ] } ``` **为账户 B 中的客户端创建托管式 VPC 连接** 1. 从集群管理员处获取您希望账户 B 中的客户端连接到的账户 A 中 MSK 集群的**集群 ARN**。记下集群 ARN 以供将来使用。 1. 在客户端账户 B 的 MSK 控制台中,选择**托管式 VPC 连接**,然后选择**创建连接**。 1. 在**连接设置**窗格中,将集群 ARN 粘贴到集群 ARN 文本字段中,然后选择**验证**。 1. 在账户 B 中选择客户端的**身份验证类型**。对于此用例,请在创建客户端 VPC 连接时选择 IAM。 1. 为客户端选择 **VPC**。 1. 至少选择两个**可用区和**关联的**子网**。您可以 IDs 从 AWS 管理控制台集群详细信息中获取可用区,也可以使用 [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API 或 desc [ribe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html) AWS CLI 命令获取。您 IDs 为客户端子网指定的区域必须与集群子网的区域相匹配。如果缺少子网的值,请先创建一个与 MSK 集群具有相同区域 ID 的子网。 1. 为此 VPC 连接选择**安全组**。您可以使用默认安全组。有关配置安全组的更多信息,请参阅 [Control traffic to resources using security groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。 1. 选择**创建连接**。 1. 要从跨账户用户的 MSK 控制台(**集群**详细信息 > **托管式 VPC 连接**)获取新引导代理字符串的列表,请参阅**集群连接字符串**下显示的引导代理字符串。在客户账户 B 中,可以通过调用 [GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API 或在控制台集群详细信息中查看引导代理列表来查看引导代理列表。 1. 按以下步骤更新与 VPC 连接关联的安全组: 1. 为 PrivateLink VPC 设置**入站规则**,以允许来自账户 B 网络的 IP 范围的所有流量。 1. [可选] 设置与 MSK 集群的**出站规则**连接。在 VPC 控制台中依次选择**安全组**、**编辑出站规则**,然后为端口范围 14001-14100 添加**自定义 TCP 流量**的规则。多 VPC 网络负载均衡器正在监听 14001-14100 端口范围。请参阅[网络负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html)。 1. 将账户 B 中的客户端配置为使用用于多 VPC 私有连接的新引导代理连接到账户 A 中的 MSK 集群。请参阅 [Produce and consume data](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html)。 授权完成后,Amazon MSK 会为每个指定的 VPC 和身份验证方案创建托管式 VPC 连接。所选安全组与每个连接相关联。此托管式 VPC 连接由 Amazon MSK 配置为私密地连接到代理。您可以使用一组新的引导代理私密地连接到 Amazon MSK 集群。