Accesso pubblico - Amazon Managed Streaming per Apache Kafka

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso pubblico

Amazon MSK ti offre la possibilità di attivare l'accesso pubblico ai broker dei cluster MSK che eseguono Apache Kafka 2.6.0 o versioni successive. Per motivi di sicurezza, non puoi attivare l'accesso pubblico durante la creazione di un cluster MSK. Tuttavia, puoi aggiornare un cluster esistente per renderlo accessibile pubblicamente. Puoi anche creare un nuovo cluster e quindi aggiornarlo per renderlo accessibile pubblicamente.

È possibile attivare l'accesso pubblico a un cluster MSK senza costi aggiuntivi, ma per il trasferimento AWS dei dati in entrata e in uscita dal cluster si applicano i costi standard di trasferimento dei dati. Per informazioni sui prezzi, consulta Amazon EC2 On-Demand Pricing.

Per attivare l'accesso pubblico a un cluster, assicurati innanzitutto che il cluster soddisfi tutte le seguenti condizioni:

  • Le sottoreti associate al cluster devono essere pubbliche. Ciò significa che le sottoreti devono avere una tabella di routing associata a un gateway Internet collegato. Per informazioni su come creare e collegare un gateway Internet, consulta i gateway Internet nella guida per l'utente di Amazon VPC.

  • Il controllo degli accessi non autenticati deve essere disattivato e almeno uno dei seguenti metodi di controllo degli accessi deve essere attivo: SASL/IAM, SASL/SCRAM, mTLS. Per informazioni su come aggiornare il metodo di controllo degli accessi di un cluster, vedere. Aggiornamento delle impostazioni di sicurezza di un cluster

  • La crittografia all'interno del cluster deve essere attivata. L'impostazione on è l'impostazione predefinita quando si crea un cluster. Non è possibile attivare la crittografia all'interno del cluster per un cluster creato con quest'ultimo disattivato. Non è quindi possibile attivare l'accesso pubblico per un cluster creato con la crittografia all'interno del cluster disattivata.

  • Il traffico di testo in chiaro tra broker e clienti deve essere disattivato. Per informazioni su come disattivarlo se è acceso, consultaAggiornamento delle impostazioni di sicurezza di un cluster.

  • Se si utilizzano i metodi di controllo degli accessi SASL/SCRAM o mTLS, è necessario impostare gli ACL di Apache Kafka per il cluster. Dopo aver impostato gli ACL di Apache Kafka per il cluster, aggiorna la configurazione del cluster in modo che la proprietà sia falsa allow.everyone.if.no.acl.found per il cluster. Per informazioni su come aggiornare la configurazione di un cluster, vedereOperazioni di configurazione Amazon MSK. Se utilizzi il controllo degli accessi IAM e desideri applicare le politiche di autorizzazione o aggiornare le tue politiche di autorizzazione, consulta. Controllo degli accessi IAM Per informazioni sugli ACL di Apache Kafka, vedere. ACL Apache Kafka

Dopo esserti assicurato che un cluster MSK soddisfi le condizioni sopra elencate, puoi utilizzare l'AWS Management ConsoleAPIAWS CLI, l'o Amazon MSK per attivare l'accesso pubblico. Dopo aver attivato l'accesso pubblico a un cluster, puoi ottenere una stringa bootstrap-brokers pubblica per esso. Per informazioni su come ottenere i broker bootstrap per un cluster, consulta. Ottenere i broker bootstrap per un cluster Amazon MSK

Importante

Oltre ad attivare l'accesso pubblico, assicurati che i gruppi di sicurezza del cluster dispongano di regole TCP in entrata che consentano l'accesso pubblico dal tuo indirizzo IP. Ti consigliamo di rendere queste regole il più restrittive possibile. Per informazioni sui gruppi di sicurezza e sulle regole in entrata, consulta Gruppi di sicurezza per il tuo VPC nella Guida per l'utente di Amazon VPC. Per i numeri di porta, vedereInformazioni sul porto. Per istruzioni su come modificare il gruppo di sicurezza di un cluster, vedereModifica del gruppo di sicurezza di un cluster Amazon MSK.

Nota

Se usi le seguenti istruzioni per attivare l'accesso pubblico e non riesci ancora ad accedere al cluster, consultaImpossibile accedere al cluster con accesso pubblico attivato.

Attivazione dell'accesso pubblico tramite la console

  1. Accedi e apri AWS Management Console la console Amazon MSK all'indirizzo https://console.aws.amazon.com/msk/home?region=us-east-1#/home/.

  2. Nell'elenco dei cluster, scegli il cluster a cui desideri attivare l'accesso pubblico.

  3. Scegli la scheda Proprietà, quindi trova la sezione Impostazioni di rete.

  4. Scegli Modifica accesso pubblico.

Attivazione dell'accesso pubblico tramite AWS CLI

  1. Esegui il AWS CLI comando seguente, sostituendo ClusterArne Current-Cluster-Version con l'ARN e la versione corrente del cluster. Per trovare la versione corrente del cluster, usa l'DescribeClusteroperazione o il comando AWS CLIdescribe-cluster. Una versione di esempio è KTVPDKIKX0DER.

    aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'

    L'output di questo comando update-connectivity è simile all'esempio JSON seguente.

    {
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
    Nota

    Per disattivare l'accesso pubblico, usa un AWS CLI comando simile, ma con le seguenti informazioni sulla connettività:

    '{"PublicAccess": {"Type": "DISABLED"}}'

  2. Per ottenere il risultato dell'update-connectivityoperazione, esegui il comando seguente, sostituendolo ClusterOperationArncon l'ARN ottenuto nell'output del update-connectivity comando.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    L'output di questo comando describe-cluster-operation è simile all'esempio JSON seguente.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2019-06-20T21:08:57.735Z",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "UPDATE_COMPLETE",
        "OperationType": "UPDATE_CONNECTIVITY",
        "SourceClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "DISABLED"
                }
            }
        },
        "TargetClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "SERVICE_PROVIDED_EIPS"
                }
            }
        }
    }
}

    Se il valore di OperationState è UPDATE_IN_PROGRESS, attendi qualche minuto, quindi esegui nuovamente il comando describe-cluster-operation.

Attivazione dell'accesso pubblico tramite l'API Amazon MSK

  • Per utilizzare l'API per attivare o disattivare l'accesso pubblico a un cluster, vedere UpdateConnectivity.

Nota

Per motivi di sicurezza, Amazon MSK non consente l'accesso pubblico ai nodi ApacheZooKeeper. Per informazioni su come controllare l'accesso ai ZooKeeper nodi Apache del cluster MSK dall'internoAWS, vedere. Controllo dell'accesso ad ApacheZooKeeper