Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configure los requisitos previos para MSK Replicator con clústeres de Apache Kafka autogestionados
<a name="msk-replicator-external-prereqs"></a>

## Creación de un rol de ejecución de IAM
<a name="msk-replicator-external-iam-role"></a>

Cree un rol de IAM con una política de confianza para. `kafka.amazonaws.com` Adjunte las políticas `AWSSecretsManagerClientReadOnlyAccess` administradas `AWSMSKReplicatorExecutionRole` y las administradas.

Ejemplo de política de confianza:

```
{
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Service": "kafka.amazonaws.com"},
    "Action": "sts:AssumeRole"
  }]
}
```

## Configure SASL/SCRAM los permisos de usuario y ACL
<a name="msk-replicator-external-scram"></a>

Cree un usuario de SCRAM dedicado en su clúster Kafka autogestionado. Se requieren los siguientes permisos de ACL:

1. Lea y describa todos los temas

1. Lea y describa sobre todos los grupos de consumidores

1. Describa un recurso de clúster

Ejemplos de comandos de kafka-acls.sh:

```
# Grant Read and Describe on all topics
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Read --operation Describe \
  --topic '*'

# Grant Read and Describe on all consumer groups
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Read --operation Describe \
  --group '*'

# Grant Describe on cluster
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Describe --cluster
```

## Configure SSL en un clúster autogestionado
<a name="msk-replicator-external-ssl"></a>

Configure los detectores de SSL en sus corredores. En el caso de los certificados de confianza pública, no se requiere ninguna configuración adicional. En el caso de los certificados privados o autofirmados, incluya toda la cadena de certificados de CA en el secreto almacenado en AWS Secrets Manager.

## Almacene las credenciales en AWS Secrets Manager
<a name="msk-replicator-external-secrets"></a>

Cree un secreto de tipo *Other* (no RDS/Redshift) en AWS Secrets Manager con los siguientes pares clave-valor:

1. `username`— Nombre de usuario SCRAM para el clúster autogestionado

1. `password`— Contraseña SCRAM para el clúster autogestionado

1. `certificate`— Cadena de certificados CA (formato PEM; obligatorio para los certificados privados o autofirmados)

## Configure la conectividad de red
<a name="msk-replicator-external-network"></a>

MSK Replicator requiere conectividad de red con su clúster Kafka autogestionado. Opciones compatibles:
+ **AWS Site-to-Site VPN**: conecta las redes locales a tu VPC a través de Internet.
+ **AWS Direct Connect**: establezca una conexión de red privada dedicada desde sus instalaciones hasta AWS.

## Configuración de grupos de seguridad
<a name="msk-replicator-external-security-groups"></a>

Asegúrese de que los grupos de seguridad permitan el tráfico entre MSK Replicator y el clúster autogestionado del SASL\_SSL puerto (normalmente el 9096). Actualice las reglas de entrada en los grupos de seguridad de VPC y las reglas de salida en el firewall de clúster autogestionado.