Accesso pubblico - Amazon Managed Streaming per Apache Kafka

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso pubblico

Amazon MSK ti offre la possibilità di attivare l'accesso pubblico ai broker dei cluster MSK che eseguono Apache Kafka 2.6.0 o versioni successive. Per motivi di sicurezza, non è possibile attivare l'accesso pubblico durante la creazione di un cluster MSK. Tuttavia, è possibile aggiornare un cluster esistente per renderlo accessibile al pubblico. È inoltre possibile creare un nuovo cluster e aggiornarlo in modo da renderlo accessibile al pubblico.

È possibile attivare l'accesso pubblico a un cluster MSK senza costi aggiuntivi, ma per il trasferimento AWS dei dati in entrata e in uscita dal cluster si applicano i costi standard di trasferimento dei dati. Per ulteriori informazioni, consulta la pagina Prezzi di Amazon EC2 on demand.

Per attivare l'accesso pubblico a un cluster, assicurati innanzitutto che il cluster soddisfi tutte le seguenti condizioni:

  • Le sottoreti associate al cluster devono essere pubbliche. Ciò significa che le sottoreti devono avere una tabella di routing associata a un gateway Internet. Per ulteriori informazioni sulla creazione e il collegamento di un gateway Internet, consulta la pagina Internet gateways nella Guida per l'utente di Amazon VPC.

  • Il controllo degli accessi non autenticati deve essere disattivato e almeno uno dei seguenti metodi di controllo degli accessi deve essere attivo: SASL/IAM, SASL/SCRAM, mTLS. Per informazioni su come aggiornare il metodo di controllo degli accessi di un cluster, consulta la pagina Aggiornamento delle impostazioni di sicurezza di un cluster.

  • La crittografia all'interno del cluster deve essere attiva. Per impostazione predefinita durante la creazione di un cluster, la crittografia è attiva. Non è possibile attivare la crittografia all'interno del cluster se esso è stato creato con questa opzione disattivata. Pertanto, non è possibile attivare l'accesso pubblico per il cluster se esso è stato creato con la crittografia all'interno del cluster disattivata.

  • Il traffico non crittografato tra broker e client deve essere disattivato. Per informazioni su come disattivarlo se è attivato, consulta la pagina Aggiornamento delle impostazioni di sicurezza di un cluster.

  • Se si utilizzano i metodi di controllo degli accessi SASL/SCRAM o mTLS, è necessario impostare le ACL di Apache Kafka per il cluster. Dopo avere impostato le ACL di Apache Kafka per il cluster, aggiorna la configurazione del cluster in modo che la proprietà allow.everyone.if.no.acl.found del cluster sia impostata su false. Per informazioni su come aggiornare la configurazione di un cluster, consulta la pagina Operazioni di configurazione di Amazon MSK. Se utilizzi il Controllo degli accessi IAM e desideri applicare policy di autorizzazione o aggiornare le tue policy esistenti, consulta la sezione Controllo degli accessi IAM. Per ulteriori informazioni sulle ACL di Apache Kafka, consulta la pagina ACL Apache Kafka.

Dopo esserti assicurato che un cluster MSK soddisfi le condizioni sopra elencate AWS Management Console, puoi utilizzare l' AWS CLI API Amazon MSK per attivare l'accesso pubblico. Dopo aver attivato l'accesso pubblico a un cluster, puoi recuperare una stringa bootstrap-brokers pubblica relativa al cluster. Per informazioni su come recuperare i broker di bootstrap per un cluster, consulta la pagina Recupero dei broker di bootstrap per un cluster Amazon MSK.

Importante

Oltre ad attivare l'accesso pubblico, assicurati che i gruppi di sicurezza del cluster dispongano di regole TCP in entrata che consentano l'accesso pubblico dal tuo indirizzo IP. Ti consigliamo di impostare tali regole di modo che siano il più restrittive possibile. Per ulteriori informazioni sui gruppi di sicurezza e le regole in entrata, consulta la pagina Security groups for your VPC nella Guida per l'utente di Amazon VPC. Per i numeri di porta, consulta la pagina Informazioni sulle porte. Per istruzioni su come modificare il gruppo di sicurezza di un cluster, consulta la pagina Modifica del gruppo di sicurezza di un cluster Amazon MSK.

Nota

Se dopo avere seguito le istruzioni seguenti per attivare l'accesso pubblico non riesci comunque ad accedere al cluster, consulta la pagina Impossibile accedere al cluster con accesso pubblico attivato.

Attivazione dell'accesso pubblico tramite la console

  1. Accedi a e apri AWS Management Console la console Amazon MSK all'indirizzo https://console.aws.amazon.com/msk/home?region=us-east-1#/home/.

  2. Nell'elenco dei cluster, scegli quello per il quale attivare l'accesso pubblico.

  3. Scegli la scheda Proprietà, quindi trova la sezione Impostazioni di rete.

  4. Scegli Modifica accesso pubblico.

Attivazione dell'accesso pubblico tramite AWS CLI

  1. Esegui il AWS CLI comando seguente, sostituendo Current-Cluster-Version con l'ARN ClusterArne la versione corrente del cluster. Per trovare la versione corrente del cluster, utilizzare l'operazione o il comando describe-cluster. DescribeCluster AWS CLI Una versione di esempio è KTVPDKIKX0DER.

    aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'

    L'output di questo comando update-connectivity è simile all'esempio JSON seguente.

    {
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
    Nota

    Per disattivare l'accesso pubblico, usa un AWS CLI comando simile, ma con le seguenti informazioni di connettività:

    '{"PublicAccess": {"Type": "DISABLED"}}'

  2. Per ottenere il risultato dell'update-connectivityoperazione, esegui il comando seguente, sostituendo ClusterOperationArn con l'ARN ottenuto nell'output del update-connectivity comando.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    L'output di questo comando describe-cluster-operation è simile all'esempio JSON seguente.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2019-06-20T21:08:57.735Z",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "UPDATE_COMPLETE",
        "OperationType": "UPDATE_CONNECTIVITY",
        "SourceClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "DISABLED"
                }
            }
        },
        "TargetClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "SERVICE_PROVIDED_EIPS"
                }
            }
        }
    }
}

    Se il valore di OperationState è UPDATE_IN_PROGRESS, attendi qualche minuto, quindi esegui nuovamente il comando describe-cluster-operation.

Attivazione dell'accesso pubblico tramite l'API di Amazon MSK

  • Per utilizzare l'API per attivare o disattivare l'accesso pubblico a un cluster, consulta. UpdateConnectivity

Nota

Per motivi di sicurezza, Amazon MSK non consente l'accesso pubblico ai nodi di controllo Apache ZooKeeper o KRAFT.