Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Paso 3: acciones del usuario entre cuentas para configurar las conexiones de VPC administradas por el cliente

PDF
RSS
Modo de enfoque
Paso 3: acciones del usuario entre cuentas para configurar las conexiones de VPC administradas por el cliente - Amazon Managed Streaming para Apache Kafka

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Para configurar la conectividad privada con varias VPC entre un cliente de una cuenta diferente del clúster de MSK, el usuario entre cuentas crea una conexión de VPC administrada para el cliente. Se pueden conectar varios clientes al clúster de MSK repitiendo este procedimiento. Para los fines de este caso de uso, tendrá que configurar un solo cliente.

Los clientes pueden usar los esquemas de autenticación compatibles: IAM, SASL/SCRAM o TLS. Cada conexión de VPC administrada solo puede tener asociado un esquema de autenticación. El esquema de autenticación del cliente debe configurarse en el clúster de MSK al que se conectará el cliente.

Para este caso de uso, configure el esquema de autenticación del cliente de modo que el cliente de la cuenta B utilice el esquema de autenticación de IAM.

Requisitos previos

Este proceso requiere los siguientes elementos:

  • La política de clústeres creada anteriormente que concede al cliente de la cuenta B permiso para realizar acciones en el clúster de MSK de la cuenta A.

  • Una política de identidad asociada al cliente en la cuenta B que otorga permisos para kafka:CreateVpcConnection, ec2:CreateTags, ec2:CreateVPCEndpoint y la acción ec2:DescribeVpcAttribute.

Como referencia, a continuación se muestra un ejemplo de JSON para una política de identidad de cliente básica.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kafka:CreateVpcConnection",
        "ec2:CreateTags",
        "ec2:CreateVPCEndpoint",
        "ec2:DescribeVpcAttribute"
      ],
      "Resource": "*"
    }
  ]
}
Creación de una conexión de VPC administrada para un cliente de la cuenta B

  1. Del administrador del clúster, obtenga el ARN del clúster de MSK de la cuenta A al que desea que se conecte el cliente de la cuenta B. Anote el ARN del clúster para usarlo más adelante.

  2. En la consola de MSK de la cuenta de cliente B, seleccione Conexiones de VPC administradas y, a continuación, seleccione Crear conexión.

  3. En el panel Configuración de conexión, pegue el ARN del clúster en el campo de texto ARN del clúster y, a continuación, seleccione Verificar.

  4. Seleccione el Tipo de autenticación para el cliente en la cuenta B. Para este caso de uso, elija IAM al crear la conexión de VPC del cliente.

  5. Elija la VPC para el cliente.

  6. Elija al menos dos zonas de disponibilidad y subredes asociadas. Puede obtener la zona IDs de disponibilidad desde los detalles del clúster de AWS Management Console o mediante la DescribeClusterAPI o el comando AWS CLI describe-cluster. La zona IDs que especifique para la subred del cliente debe coincidir con las de la subred del clúster. Si faltan los valores de una subred, primero cree una subred con el mismo ID de zona que su clúster de MSK.

  7. Elija un Grupo de seguridad para esta conexión de VPC. Puede aceptar el grupo de seguridad predeterminado. Para obtener más información sobre la configuración de grupos de seguridad, consulte Control del tráfico hacia los recursos mediante grupos de seguridad.

  8. Seleccione Crear conexión.

  9. Para obtener la lista de nuevas cadenas de agente de arranque desde la consola de MSK del usuario entre cuentas (Detalles del clúster > Conexiones de VPC administradas), consulte las cadenas de agente de arranque que se muestran en Cadena de conexión del clúster. Desde la cuenta B del cliente, se puede ver la lista de agentes de arranque llamando a la GetBootstrapBrokersAPI o consultando la lista de agentes de arranque en los detalles del clúster de la consola.

  10. Actualice los grupos de seguridad asociados a las conexiones de VPC de la siguiente manera:

    1. Establezca reglas de entrada para la PrivateLink VPC a fin de permitir todo el tráfico del rango de IP desde la red de la cuenta B.

    2. [Opcional] Establezca conectividad mediante Reglas de salida con el clúster de MSK. Elija el Grupo de seguridad en la consola de la VPC, Editar reglas de salida y agregue una regla para Tráfico TCP personalizado para los rangos de puertos del 14001 al 14100. El equilibrador de carga de red de varias VPC escucha en los rangos de puertos del 14001 al 14100. Consulte Network Load Balancers.

  11. Configure el cliente de la cuenta B para que utilice los nuevos agentes de arranque para la conectividad privada con varias VPC a fin de conectarse al clúster de MSK de la cuenta A. Consulte Produce and consume data.

Una vez completada la autorización, Amazon MSK crea una conexión de VPC administrada para cada VPC y esquema de autenticación especificados. El grupo de seguridad elegido se asocia a cada conexión. Amazon MSK configura esta conexión de VPC administrada para conectarse de forma privada a los agentes. Puede utilizar el nuevo conjunto de agentes de arrange para conectarse de forma privada al clúster de Amazon MSK.

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.