Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

ステップ 3: クライアント管理の VPC 接続を設定するためのクロスアカウントユーザーの操作

PDF
RSS
フォーカスモード
ステップ 3: クライアント管理の VPC 接続を設定するためのクロスアカウントユーザーの操作 - Amazon Managed Streaming for Apache Kafka

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

MSK クラスターとは別のアカウントのクライアント間にマルチ VPC プライベート接続を設定するには、クロスアカウントユーザーがクライアントのマネージド VPC 接続を作成します。この手順を繰り返すことで、複数のクライアントを MSK クラスターに接続できます。このユースケースでは、クライアントを 1 つだけ設定します。

クライアントは、サポートされている認証スキームである、IAM、SASL/SCRAM、または TLS を使用できます。各マネージド VPC 接続に関連付けることができる認証スキームは 1 つのみです。クライアント認証スキームは、クライアントが接続する MSK クラスターで設定する必要があります。

このユースケースでは、アカウント B のクライアントが IAM 認証スキームを使用するようにクライアント認証スキームを設定します。

前提条件

このプロセスには、以下の項目が必要です。

  • アカウント A の MSK クラスターでアクションを実行するアクセス許可をアカウント B のクライアントに付与する、以前に作成したクラスターポリシー。

  • アカウント B のクライアントにアタッチされた、kafka:CreateVpcConnectionec2:CreateTagsec2:CreateVPCEndpointec2:DescribeVpcAttribute のアクションのアクセス許可を付与する ID ポリシー。

参考までに、基本的なクライアント ID ポリシーの JSON の例を以下に示します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kafka:CreateVpcConnection",
        "ec2:CreateTags",
        "ec2:CreateVPCEndpoint",
        "ec2:DescribeVpcAttribute"
      ],
      "Resource": "*"
    }
  ]
}
アカウント B のクライアントのマネージド VPC 接続を作成するには

  1. クラスター管理者から、アカウント B のクライアントの接続先となるアカウント A の MSK クラスターのクラスター ARN を取得します。クラスター ARN は、後で使用するため書き留めておきます。

  2. クライアントアカウント B の MSK コンソールで、[マネージド VPC 接続] を選択し、[接続の作成] を選択します。

  3. [接続設定] ペインで、クラスター ARN をクラスター ARN テキストフィールドに貼り付け、[検証] を選択します。

  4. アカウント B のクライアントの [認証タイプ] を選択します。このユースケースでは、クライアント VPC 接続を作成するときに IAM を選択します。

  5. クライアントの [VPC] を選択します。

  6. 少なくとも 2 つのアベイラビリティーゾーンと、関連付けられたサブネットを選択します。アベイラビリティーゾーン IDs は、 AWS マネジメントコンソールのクラスターの詳細から取得するか、DescribeCluster API または describe-cluster AWS CLI コマンドを使用して取得できます。クライアントサブネットに指定するゾーン ID は、クラスターサブネットの ID と一致する必要があります。サブネットの値が見つからない場合は、まず MSK クラスターと同じゾーン ID でサブネットを作成します。

  7. この VPC 接続のセキュリティグループを選択します。デフォルトのセキュリティグループを使用できます。セキュリティグループの詳細については、「セキュリティグループを使用してリソースへのトラフィックを制御する」を参照してください。

  8. [接続の作成] を選択します。

  9. クロスアカウントユーザーの MSK コンソール ([クラスター] の詳細 > [マネージド VPC 接続]) から新しいブートストラップブローカー文字列のリストを取得するには、[クラスター接続文字列] の下に表示されているブートストラップブローカー文字列を確認します。クライアントアカウント B からブートストラップブローカーのリストを表示するには、GetBootstrapBrokers API を呼び出すか、コンソールクラスターの詳細でブートストラップブローカーのリストを表示します。

  10. VPC 接続に関連付けられたセキュリティグループを次のように更新します。

    1. PrivateLink VPC のインバウンドルールを設定して、アカウント B ネットワークからの IP 範囲のすべてのトラフィックを許可します。

    2. (オプション) MSK クラスターへの [アウトバウンドルール] 接続を設定します。VPC コンソールで [セキュリティグループ] を選択し、[アウトバウンドルールの編集] を行い、ポート範囲 14001~14100 の [カスタム TCP トラフィック] のルールを追加します。マルチ VPC ネットワークロードバランサーは、14001~14100 のポート範囲をリッスンしています。「Network Load Balancer」を参照してください。

  11. マルチ VPC プライベート接続用の新しいブートストラップブローカーを使用してアカウント A の MSK クラスターに接続するように、アカウント B のクライアントを設定します。「データを生成および消費する」を参照してください。

認可が完了すると、Amazon MSK は指定された VPC および認可スキームごとにマネージド VPC 接続を作成します。選択したセキュリティグループは各接続に関連付けられます。このマネージド VPC 接続は、ブローカーにプライベート接続するように Amazon MSK によって設定されます。新しいブートストラップブローカーのセットを使用して、Amazon MSK クラスターにプライベート接続できます。

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.