Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration des prérequis pour MSK Replicator avec des clusters Apache Kafka autogérés
<a name="msk-replicator-external-prereqs"></a>

## Création d'un rôle d'exécution IAM
<a name="msk-replicator-external-iam-role"></a>

Créez un rôle IAM avec une politique de confiance pour`kafka.amazonaws.com`. Joignez les politiques `AWSMSKReplicatorExecutionRole` et les politiques `AWSSecretsManagerClientReadOnlyAccess` gérées.

Exemple de politique de confiance :

```
{
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Service": "kafka.amazonaws.com"},
    "Action": "sts:AssumeRole"
  }]
}
```

## Configuration des autorisations SASL/SCRAM utilisateur et ACL
<a name="msk-replicator-external-scram"></a>

Créez un utilisateur SCRAM dédié sur votre cluster Kafka autogéré. Les autorisations ACL suivantes sont requises :

1. Lisez, décrivez sur tous les sujets

1. Lisez et décrivez sur tous les groupes de consommateurs

1. Décrire une ressource de cluster

Exemples de commandes kafka-acls.sh :

```
# Grant Read and Describe on all topics
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Read --operation Describe \
  --topic '*'

# Grant Read and Describe on all consumer groups
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Read --operation Describe \
  --group '*'

# Grant Describe on cluster
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Describe --cluster
```

## Configuration du protocole SSL sur un cluster autogéré
<a name="msk-replicator-external-ssl"></a>

Configurez les écouteurs SSL sur vos courtiers. Pour les certificats approuvés par le public, aucune configuration supplémentaire n'est requise. Pour les certificats privés ou auto-signés, incluez la chaîne complète de certificats CA dans le secret stocké dans AWS Secrets Manager.

## Stocker les informations d'identification dans AWS Secrets Manager
<a name="msk-replicator-external-secrets"></a>

Créez un secret de type *Autre* (et non RDS/RedShift) dans AWS Secrets Manager avec les paires clé-valeur suivantes :

1. `username`— Nom d'utilisateur SCRAM pour le cluster autogéré

1. `password`— Mot de passe SCRAM pour le cluster autogéré

1. `certificate`— Chaîne de certificats CA (format PEM ; obligatoire pour les certificats privés/auto-signés)

## Configuration de la connectivité réseau
<a name="msk-replicator-external-network"></a>

MSK Replicator nécessite une connectivité réseau à votre cluster Kafka autogéré. Options prises en charge :
+ **AWS Site-to-Site VPN** — Connectez les réseaux locaux à votre VPC via Internet.
+ **AWS Direct Connect** — Établissez une connexion réseau privée dédiée entre vos locaux et AWS.

## Configurer des groupes de sécurité
<a name="msk-replicator-external-security-groups"></a>

Assurez-vous que les groupes de sécurité autorisent le trafic entre MSK Replicator et le cluster autogéré sur le SASL\_SSL port (généralement le 9096). Mettez à jour les règles entrantes sur les groupes de sécurité VPC et les règles sortantes sur le pare-feu de cluster autogéré.