本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 步驟 3:設定用戶端受管 VPC 連線的跨帳戶使用者動作 若要在與 MSK 叢集不同帳戶中的用戶端之間設定多 VPC 私有連線,則跨帳戶使用者需要為該用戶端建立受管 VPC 連線。重複此程序即可將多個用戶端連線至 MSK 叢集。就此使用案例而言,您只需設定一個用戶端。 用戶端可以使用受支援的身分驗證機制 IAM、SASL/SCRAM 或 TLS。每個受管 VPC 連線只能有一個相關聯的身分驗證機制。必須在用戶端將連線的 MSK 叢集上設定用戶端身分驗證機制。 在此使用案例中,請設定用戶端身分驗證機制,以便帳戶 B 中的用戶端使用 IAM 身分驗證機制。 **先決條件** 此程序需要下列項目: + 先前建立的叢集政策,其會授予帳戶 B 中用戶端對帳戶 A 中的 MSK 叢集執行動作的許可。 + 連接到帳戶 B 中用戶端的身分政策,授予 `kafka:CreateVpcConnection`、 `ec2:CreateTags``ec2:CreateVPCEndpoint`和 `ec2:DescribeVpcAttribute`動作的許可。 **Example** 如需參考,以下是基本用戶端身分政策的 JSON 範例。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateVpcConnection", "ec2:CreateTags", "ec2:CreateVPCEndpoint", "ec2:DescribeVpcAttribute" ], "Resource": "*" } ] } ``` **為帳戶 B 中的用戶端建立受管 VPC 連線** 1. 從叢集系統管理員取得帳戶 A 中 MSK 叢集的**叢集 ARN**,以便帳戶 B 中的用戶端連線到該叢集。記下叢集 ARN 以供稍後使用。 1. 在帳戶 B 用戶端的 MSK 主控台中,選擇**受管 VPC 連線**,然後選擇**建立連線**。 1. 在**連線設定**窗格中,將叢集 ARN 貼至叢集 ARN 文字欄位,然後選擇**驗證**。 1. 為帳戶 B 中的用戶端選取**身分驗證類型**。在此使用案例中,請在建立用戶端 VPC 連線時選擇 IAM。 1. 選擇用戶端的 **VPC**。 1. 至少選擇兩個可用**區域**和關聯的**子網路**。您可以從 AWS 管理主控台叢集詳細資訊或使用 [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster) API 或 [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html) AWS CLI 命令取得可用區域 IDs。您為用戶端子網路指定的區域 ID 必須與叢集子網路的區域 ID 相符。如果遺失子網路的值,請先建立具有與 MSK 叢集相同區域 ID 的子網路。 1. 選擇此 VPC 連線的**安全群組**。您可以使用預設的安全群組。如需有關設定安全群組的詳細資訊,請參閱[使用安全群組控制資源的流量](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。 1. 選取**建立連線**。 1. 若要從跨帳戶使用者的 MSK 主控台 (**叢集**詳細資訊 > **受管 VPC 連線**) 取得新的引導代理程式字串清單,請參閱「**叢集連線字串**」下顯示的引導代理程式字串。您可以從帳戶 B 中用戶端呼叫 [GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers) API,或在主控台叢集詳細資訊中檢視引導代理程式清單,來檢視引導代理程式清單。 1. 如下所示,更新與 VPC 連線關聯的安全群組: 1. 設定 PrivateLink VPC 的**傳入規則**,以允許來自帳戶 B 網路 IP 範圍內的所有流量。 1. [選用] 設定 MSK 叢集的**傳出規則**連線。在 VPC 主控台中選擇**安全群組**、**編輯傳出規則**,然後為連接埠範圍 14001-14100 新增**自訂 TCP 流量**規則。多 VPC 網路負載平衡器接聽 14001-14100 連接埠範圍。請參閱 [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html)。 1. 設定帳戶 B 中的用戶端,使用多 VPC 私有連線的新引導代理程式,以連線到帳戶 A 中的 MSK 叢集。請參閱[生產和取用資料](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html)。 授權完成後,Amazon MSK 會為每個指定的 VPC 和身分驗證機制建立受管 VPC 連線。所選的安全群組會與每個連線相關聯。Amazon MSK 會設定此受管 VPC 連線,以私密連線至代理程式。您可以使用一組新的引導代理程式,私密連線到 Amazon MSK 叢集。