Autorisations pour la connectivité VPC multi-privée

Cette section résume les autorisations requises pour les clients et les clusters à l'aide de la fonctionnalité de connectivité VPC multi-privée. La connectivité VPC multi-privée nécessite que l'administrateur du client crée des autorisations pour chaque client qui disposera d'une VPC connexion gérée au MSK cluster. L'administrateur du MSK cluster doit également activer la PrivateLink connectivité sur le MSK cluster et sélectionner des schémas d'authentification pour contrôler l'accès au cluster.

Type d'authentification du cluster et autorisations d'accès aux rubriques

Activez la fonctionnalité de connectivité VPC multi-privée pour les schémas d'authentification activés pour votre MSK cluster. veuillez consulter Exigences et limites de la connectivité VPC multi-privée. Si vous configurez votre MSK cluster pour utiliser le schémaSASL/SCRAMauth, la ACLs propriété Apache Kafka allow.everyone.if.no.acl.found=false est obligatoire. Après avoir défini les Apache Kafka ACLs pour votre cluster, mettez à jour la configuration du cluster pour que la propriété allow.everyone.if.no.acl.found soit définie sur false pour le cluster. Pour de plus amples informations sur la manière de mettre à jour la configuration d'un cluster, consultez Opérations MSK de configuration Amazon.

Autorisations de politique de cluster intercompte

Si le AWS compte d'un client Kafka est différent de celui du MSK cluster, associez au cluster une politique basée sur le MSK cluster qui autorise l'utilisateur root du client à établir une connectivité entre comptes. Vous pouvez modifier la politique VPC multi-clusters à l'aide de l'éditeur de IAM stratégie de la MSK console (Paramètres de sécurité du cluster > Modifier la stratégie de cluster), ou utiliser ce qui suit APIs pour gérer la politique de cluster :

PutClusterPolicy: Attache une politique de cluster au cluster. Vous pouvez l'utiliser API pour créer ou mettre à jour la politique de MSK cluster spécifiée. Si vous mettez à jour la politique, le currentVersion champ est obligatoire dans la charge utile de la demande.
GetClusterPolicy: Récupère le JSON texte du document de politique du cluster joint au cluster.
DeleteClusterPolicy: Supprime la politique de cluster.

Voici un exemple de stratégie de JSON cluster de base, similaire à celle présentée dans l'éditeur de IAM stratégie de MSK console.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "123456789012"
                ]
            },
            "Action": [
                "kafka:CreateVpcConnection",
                "kafka:GetBootstrapBrokers",
                "kafka:DescribeCluster",
                "kafka:DescribeClusterV2"
            ],
            "Resource": "arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
        }
    ]
}

Autorisations du client pour une connectivité VPC multi-privée à un MSK cluster

Pour configurer une connectivité VPC multi-privée entre un client Kafka et un MSK cluster, le client a besoin d'une politique d'identité attachée qui accorde des kafka:CreateVpcConnection autorisations ec2:CreateTags et ec2:CreateVPCEndpoint des actions au client. À titre de référence, voici un JSON exemple de politique d'identité client de base.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kafka:CreateVpcConnection",
        "ec2:CreateTags",
        "ec2:CreateVPCEndpoint"
      ],
      "Resource": "*"
    }
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Supprimer la VPC connexion gérée

Informations sur le port