Amazon MSK クラスターのセキュリティグループの変更

このページでは、既存の MSK クラスターのセキュリティグループを変更する方法について説明します。特定のユーザーセットにアクセスを提供したり、クラスターへのアクセスを制限したりするために、クラスターのセキュリティグループを変更する必要がある場合があります。セキュリティグループの詳細については、「Amazon VPC ユーザーガイド」のVPCのセキュリティグループを参照してください。

1. API ListNodesまたは の list-nodes コマンド AWS CLI を使用して、クラスター内のブローカーのリストを取得します。このオペレーションの結果には、ブローカーに関連付けられている Elastic Network Interface (ENI) の ID が含まれます。

2. にサインイン AWS Management Console し、https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

3. 画面の右上隅にあるドロップダウンリストを使用して、クラスターが展開されているリージョンを選択します。

4. 左側のペインの Network & Security (ネットワークとセキュリティ) で、Network Interfaces (ネットワークインターフェイス) を選択します。

5. 最初のステップで取得した最初の ENI を選択します。画面上部の Actions (アクション) メニューを選択し、[Change Security Groups] (セキュリティグループの変更) を選択します。この ENI に新しいセキュリティグループを割り当てます。最初のステップで取得した ENI ごとに、このステップを繰り返します。

   注記

   Amazon EC2 コンソールを使用してクラスターのセキュリティグループに対して行った変更は、MSK コンソールの [ネットワーク設定] には反映されません。

6. クライアントがブローカーにアクセスできるように、新しいセキュリティグループのルールを構成します。セキュリティグループルールの設定については、「Amazon VPC ユーザーガイド」のルールの追加、削除、更新を参照してください。

重要

クラスターのブローカーに関連付けられているセキュリティグループを変更してから、そのクラスターに新しいブローカーを追加すると、Amazon MSK は、クラスターの作成時にクラスターに関連付けられていた元のセキュリティグループに新しいブローカーを関連付けます。ただし、クラスターが正しく機能するには、すべてのブローカーが同じセキュリティグループに関連付けられている必要があります。したがって、セキュリティグループを変更した後に新しいブローカーを追加する場合は、前の手順を再度実行して、新しいブローカーの ENI を更新する必要があります。