Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configure los requisitos previos para MSK Replicator con clústeres de Apache Kafka autogestionados
Creación de un rol de ejecución de IAM
Cree un rol de IAM con una política de confianza para. kafka.amazonaws.com Adjunta la política AWSMSKReplicatorExecutionRole gestionada. La política gestionada concede a Kafka los permisos que Kafka necesita a nivel de clúster, tema y grupo de consumidores, pero no incluye AWS Secrets Manager AWS KMS los permisos necesarios para la autenticación y las credenciales. SASL/SCRAM CMK-encrypted Para ver los fragmentos de políticas en línea que puede agregar, consulte. Permisos de SER adicionales para las claves SASL/SCRAM administradas por el cliente y las MTL
Ejemplo de política de confianza:
{ "Statement": [{ "Effect": "Allow", "Principal": {"Service": "kafka.amazonaws.com"}, "Action": "sts:AssumeRole" }] }
Configure SASL/SCRAM los permisos de usuario y ACL
Cree un usuario de SCRAM dedicado en su clúster Kafka autogestionado. Se requieren los siguientes permisos de ACL:
Lea y describa todos los temas
Lea y describa sobre todos los grupos de consumidores
Describa un recurso de clúster
Ejemplos de comandos de kafka-acls.sh:
# Grant Read and Describe on all topics kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --topic '*' # Grant Read and Describe on all consumer groups kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --group '*' # Grant Describe on cluster kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Describe --cluster
Configure los mTLS en un clúster autogestionado
Configure un agente de escucha SSL en sus corredores Kafka autogestionados con. ssl.client.auth=required El almacén de confianza del bróker debe contener el certificado de CA que firmó el certificado de cliente que utilizará para MSK Replicator.
Otorgue permisos de ACL al principal de Kafka derivados del nombre distintivo (DN) del certificado de cliente. Los permisos necesarios son: Leer y describir sobre todos los temas, Leer y describir sobre todos los grupos de consumidores y Describir sobre el recurso del clúster.
Configure SSL en un clúster autogestionado
Configure los detectores de SSL en sus corredores. En el caso de los certificados de confianza pública, no se requiere ninguna configuración adicional. En el caso de los certificados privados o autofirmados, incluya toda la cadena de certificados de CA en el secreto almacenado en AWS Secrets Manager.
Guarde las credenciales en AWS Secrets Manager
Cree un secreto de tipo Other (not RDS/Redshift) en AWS Secrets Manager con los pares clave-valor adecuados para su tipo de autenticación.
Para: SASL/SCRAM
username— Nombre de usuario SCRAM para el clúster autogestionadopassword— Contraseña SCRAM para el clúster autogestionadocertificate— Cadena de certificados CA (formato PEM; obligatorio para private/self los certificados firmados)
Para mTLS:
certificate— cadena de certificados de PEM-encoded clientesprivateKey— clave PEM-encoded privadaprivateKeyPassword— (Opcional) Frase de contraseña para la clave privada, necesaria solo para las claves PKCS8 cifradas
Configuración de la conectividad de red
MSK Replicator requiere conectividad de red con su clúster Kafka autogestionado. Opciones compatibles:
AWS Site-to-Site VPN: conecta las redes locales a tu VPC a través de Internet.
AWS Direct Connect: establezca una conexión de red privada dedicada desde sus instalaciones hasta AWS.
Configuración de grupos de seguridad
Asegúrese de que los grupos de seguridad permitan el tráfico entre MSK Replicator y el clúster autogestionado en el puerto utilizado por su agente de autenticación. Actualice las reglas de entrada en los grupos de seguridad de VPC y las reglas de salida en el firewall de clúster autogestionado.