Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Connectez-vous à un cluster Amazon MSK Provisioned
Par défaut, les clients peuvent accéder à un cluster MSK provisioned uniquement s'ils se trouvent dans le même VPC que le cluster. Toutes les communications entre vos clients Kafka et votre cluster MSK Provisioned sont privées par défaut et vos données de streaming ne transitent jamais par Internet. Pour vous connecter à votre cluster MSK Provisioned depuis un client qui se trouve dans le même VPC que le cluster, assurez-vous que le groupe de sécurité du cluster dispose d'une règle entrante qui accepte le trafic provenant du groupe de sécurité du client. Pour plus d'informations sur la configuration de ces règles, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules). Pour obtenir un exemple de la façon d'accéder à un cluster à partir d'une instance Amazon EC2 située dans le même VPC que le cluster, consultez [Commencez à utiliser Amazon MSK](getting-started.md).
**Note**
KRaft le mode métadonnées et les courtiers MSK Express ne peuvent pas activer à la fois la surveillance ouverte et l'accès public.
Pour vous connecter à votre cluster MSK Provisioned depuis un client situé en dehors du VPC du cluster, voir [Accès depuis le VPC du cluster AWS mais depuis l'](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access.html)extérieur.
**Topics**
+ [Activer l'accès public à un cluster provisionné par MSK](public-access.md)
+ [Accès depuis le VPC du cluster AWS mais depuis l'extérieur](aws-access.md)
# Activer l'accès public à un cluster provisionné par MSK
Amazon MSK vous donne la possibilité d'activer l'accès public aux courtiers des clusters provisionnés par MSK exécutant Apache Kafka 2.6.0 ou des versions ultérieures. Pour des raisons de sécurité, vous ne pouvez pas activer l'accès public lors de la création d'un cluster MSK. Toutefois, vous pouvez mettre à jour un cluster existant pour le rendre accessible au public. Vous pouvez également créer un cluster, puis le mettre à jour pour le rendre accessible au public.
Vous pouvez activer l'accès public à un cluster MSK sans frais supplémentaires, mais les coûts de transfert de AWS données standard s'appliquent pour le transfert de données vers et depuis le cluster. Pour plus d'informations sur la tarification, consultez [Tarification à la demande Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/).
Les clusters provisionnés Amazon MSK dotés d'un type de réseau à double pile prennent en charge à la fois la IPv6 connectivité IPv4 et l'accès public. Lorsque l'accès public est activé sur votre cluster, les mêmes chaînes de IPv6 démarrage fonctionnent automatiquement pour la connectivité par défaut et pour la connectivité d'accès public. Vos chaînes IPv4 bootstrap existantes continueront de fonctionner pour la IPv4 connectivité. Notez que si l'accès public n'est pas activé sur votre cluster, les chaînes IPv6 bootstrap ne seront pas accessibles au public. Pour plus d'informations, consultez Configurer le type de réseau à double pile pour un cluster Amazon MSK.
**Note**
Si vous utilisez les méthodes de contrôle d'accès SASL/SCRAM ou mTLS, vous devez d'abord configurer Apache Kafka pour votre cluster. ACLs Mettez ensuite à jour la configuration du cluster pour définir la `allow.everyone.if.no.acl.found` propriété sur false. Pour de plus amples informations sur la manière de mettre à jour la configuration d'un cluster, consultez [Opérations de configuration du broker](msk-configuration-operations.md).
Pour activer l'accès public à un cluster provisionné par MSK, assurez-vous que le cluster répond à toutes les conditions suivantes :
+ Les sous-réseaux associés au cluster doivent être publics. Chaque sous-réseau public est associé à une IPv4 adresse publique et les IPv4 adresses publiques sont facturées comme indiqué sur la page de tarification [d'Amazon VPC](https://aws.amazon.com/vpc/pricing/). Cela signifie que les sous-réseaux doivent avoir une table de routage associée à une passerelle Internet. Pour plus d'informations sur la création et l'attachement d'une passerelle Internet, consultez la section [Activer l'accès Internet VPC à l'aide de passerelles Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) dans le guide de l'utilisateur Amazon *VPC*.
+ Le contrôle d'accès non authentifié doit être désactivé et au moins l'une des méthodes de contrôle d'accès suivantes doit être activée :, mTLS. SASL/IAM, SASL/SCRAM Pour de plus amples informations sur la manière de mettre à jour la méthode de contrôle d'accès d'un cluster, consultez [Mettre à jour les paramètres de sécurité d'un cluster Amazon MSK](msk-update-security.md).
+ Le chiffrement au sein du cluster doit être activé. Le paramètre Activé est la valeur par défaut lors de la création d'un cluster. Il n'est pas possible d'activer le chiffrement au sein du cluster pour un cluster créé alors qu'il était désactivé. Il n'est dès lors pas possible d'activer l'accès public pour un cluster créé alors que le chiffrement était désactivé.
+ Le trafic en texte brut entre les agents et les clients doit être désactivé. Pour plus d'informations sur la manière de le désactiver s'il est activé, consultez [Mettre à jour les paramètres de sécurité d'un cluster Amazon MSK](msk-update-security.md).
+ Si vous utilisez le contrôle d'accès IAM et que vous souhaitez appliquer des politiques d'autorisation ou mettre à jour vos politiques d'autorisation, consultez[Contrôle d'accès IAM](iam-access-control.md). Pour plus d'informations sur Apache Kafka ACLs, consultez[Apache Kafka ACLs](msk-acls.md).
Une fois que vous vous êtes assuré qu'un cluster MSK répond aux conditions répertoriées ci-dessus, vous pouvez utiliser l' AWS Management Console API Amazon MSK ou l'API Amazon MSK pour activer l'accès public. AWS CLI Après avoir activé l'accès public à un cluster, vous pouvez obtenir une chaîne bootstrap-brokers publique pour celui-ci. Pour de plus amples informations sur l'obtention des agents d'amorçage pour un cluster, consultez [Obtenez les courtiers bootstrap pour un cluster Amazon MSK](msk-get-bootstrap-brokers.md).
**Important**
Outre l'activation de l'accès public, assurez-vous que les groupes de sécurité du cluster disposent de règles TCP entrantes qui autorisent l'accès public à partir de votre adresse IP. Nous vous recommandons de rendre ces règles aussi restrictives que possible. Pour plus d'informations sur les groupes de sécurité et les règles entrantes, consultez [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) dans le Guide de l'utilisateur Amazon VPC. Pour les numéros de port, consultez [Informations sur le port](port-info.md). Pour obtenir des instructions sur la manière de modifier le groupe de sécurité d'un cluster, consultez [Modification du groupe de sécurité d'un cluster Amazon MSK](change-security-group.md).
**Note**
Si vous utilisez les instructions suivantes pour activer l'accès public et que vous ne parvenez toujours pas à accéder au cluster, consultez [Impossible d'accéder au cluster dont l'accès public est activé](troubleshooting.md#public-access-issues).
**Activation de l'accès public à l'aide de la console**
1. Connectez-vous à la AWS Management Console console Amazon MSK et ouvrez-la [https://console.aws.amazon.com/msk/chez vous ? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).
1. Dans la liste des clusters, choisissez le cluster pour lequel vous souhaitez activer l'accès public.
1. Choisissez l'onglet **Propriétés**, puis recherchez la section **Paramètres réseau**.
1. Choisissez **Modifier l'accès public**.
**Activation de l'accès public à l'aide du AWS CLI**
1. Exécutez la AWS CLI commande suivante en *Current-Cluster-Version* remplaçant *ClusterArn* et par l'ARN et la version actuelle du cluster. Pour trouver la version actuelle du cluster, utilisez l'[DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)opération ou la commande [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html) AWS CLI . Voici un exemple de version : `KTVPDKIKX0DER`.
```
aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'
```
La sortie de cette commande `update-connectivity` ressemble à l'exemple JSON suivant.
```
{
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
```
**Note**
Pour désactiver l'accès public, utilisez une AWS CLI commande similaire, mais avec les informations de connectivité suivantes à la place :
```
'{"PublicAccess": {"Type": "DISABLED"}}'
```
1. Pour obtenir le résultat de l'`update-connectivity`opération, exécutez la commande suivante en la *ClusterOperationArn* remplaçant par l'ARN que vous avez obtenu dans le résultat de la `update-connectivity` commande.
```
aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn
```
La sortie de cette commande `describe-cluster-operation` ressemble à l'exemple JSON suivant.
```
{
"ClusterOperationInfo": {
"ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"CreationTime": "2019-06-20T21:08:57.735Z",
"OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
"OperationState": "UPDATE_COMPLETE",
"OperationType": "UPDATE_CONNECTIVITY",
"SourceClusterInfo": {
"ConnectivityInfo": {
"PublicAccess": {
"Type": "DISABLED"
}
}
},
"TargetClusterInfo": {
"ConnectivityInfo": {
"PublicAccess": {
"Type": "SERVICE_PROVIDED_EIPS"
}
}
}
}
}
```
Si `OperationState` a la valeur `UPDATE_IN_PROGRESS`, attendez un moment, puis exécutez à nouveau la commande `describe-cluster-operation`.
**Activation de l'accès public à l'aide de l'API Amazon MSK**
+ Pour utiliser l'API afin d'activer ou de désactiver l'accès public à un cluster, consultez [UpdateConnectivity](https://docs.aws.amazon.com//msk/1.0/apireference/clusters-clusterarn-connectivity.html#UpdateConnectivity).
**Note**
Pour des raisons de sécurité, Amazon MSK n'autorise pas l'accès public aux nœuds Apache ZooKeeper ou aux nœuds de KRaft contrôleur.
# Accès depuis le VPC du cluster AWS mais depuis l'extérieur
Pour vous connecter à un cluster MSK depuis l'intérieur AWS mais en dehors de l'Amazon VPC du cluster, les options suivantes existent.
## Appairage de VPC Amazon
Pour vous connecter à votre cluster MSK depuis un VPC différent du VPC du cluster, vous pouvez créer une connexion d'appairage entre les deux. VPCs Pour plus d'informations sur l'appairage de VPC, consultez le [Manuel d’appairage de VPC Amazon](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).
## Direct Connect
Direct Connect relie votre réseau sur site à AWS un câble à fibre optique Ethernet standard de 1 ou 10 gigabits. Une extrémité du câble est connectée à votre routeur, l'autre à un Direct Connect routeur. Une fois cette connexion établie, vous pouvez créer des interfaces virtuelles directement vers le AWS cloud et Amazon VPC, en contournant les fournisseurs de services Internet sur votre chemin réseau. Pour de plus amples informations, veuillez consulter [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
## AWS Transit Gateway
AWS Transit Gateway est un service qui vous permet de connecter votre réseau VPCs et votre réseau local à une passerelle unique. Pour plus d'informations sur la façon d’utiliser AWS Transit Gateway, consultez [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html).
## Connexions VPN
Vous pouvez connecter le VPC de votre cluster MSK à des réseaux distants et à des utilisateurs à l'aide des options de connectivité VPN décrites dans la rubrique suivante : [Connexions VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html).
## Proxies REST
Vous pouvez installer un proxy REST sur une instance qui s'exécute dans le VPC Amazon de votre cluster. Les proxys REST permettent à vos producteurs et consommateurs de communiquer avec le cluster via des requêtes API HTTP.
## Connectivité à plusieurs VPC dans plusieurs régions
Le document suivant décrit les options de connectivité pour plusieurs VPCs personnes résidant dans différentes régions : Connectivité [multiVPC entre régions](https://aws.amazon.com/answers/networking/aws-multiple-region-multi-vpc-connectivity/).
## Connectivité privée à plusieurs VPC dans une seule région
La connectivité privée multi-VPC (alimentée par [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) pour les clusters Amazon Managed Streaming for Apache Kafka (Amazon MSK) est une fonctionnalité qui vous permet de connecter plus rapidement des clients Kafka hébergés dans différents VPCs clouds privés virtuels () AWS et comptes à un cluster Amazon MSK.
Consultez [Connectivité à plusieurs VPC dans une seule région pour les clients intercompte](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access-mult-vpc.html).
## Le réseau EC2-Classic est retiré
Amazon MSK ne prend plus en charge les instances Amazon EC2 exécutées avec le réseau Amazon EC2-Classic.
Voir [EC2-Classic Networking est en train de prendre sa retraite. Voici comment vous y préparer](https://aws.amazon.com/blogs/aws/ec2-classic-is-retiring-heres-how-to-prepare/).
# Connectivité privée à plusieurs VPC Amazon MSK dans une seule région
La connectivité privée multi-VPC (alimentée par [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) pour les clusters Amazon Managed Streaming for Apache Kafka (Amazon MSK) est une fonctionnalité qui vous permet de connecter plus rapidement des clients Kafka hébergés dans différents VPCs clouds privés virtuels () AWS et comptes à un cluster Amazon MSK.
La connectivité privée à plusieurs VPC est une solution gérée qui simplifie l'infrastructure réseau pour la connectivité à plusieurs VPC et intercompte. Les clients peuvent se connecter au cluster Amazon MSK PrivateLink tout en conservant tout le trafic sur le AWS réseau. La connectivité privée multi-VPC pour les clusters Amazon MSK est disponible dans toutes les régions AWS où Amazon MSK est disponible.
**Topics**
+ [Qu'est-ce que la connectivité privée à plusieurs VPC ?](#mvpc-what-is)
+ [Avantages de la connectivité privée à plusieurs VPC](#mvpc-benefits)
+ [Exigences et limites relatives à la connectivité privée à plusieurs VPC](#mvpc-requirements)
+ [Commencez à utiliser la connectivité privée multi-VPC](mvpc-getting-started.md)
+ [Mettre à jour les schémas d'autorisation sur un cluster](mvpc-cross-account-update-authschemes.md)
+ [Refuser une connexion VPC gérée à un cluster Amazon MSK](mvpc-cross-account-reject-connection.md)
+ [Supprimer une connexion VPC gérée à un cluster Amazon MSK](mvpc-cross-account-delete-connection.md)
+ [Autorisations pour la connectivité privée à plusieurs VPC](mvpc-cross-account-permissions.md)
## Qu'est-ce que la connectivité privée à plusieurs VPC ?
La connectivité privée multi-VPC pour Amazon MSK est une option de connectivité qui vous permet de connecter des clients Apache Kafka hébergés dans différents clouds privés virtuels (VPCs) et AWS comptes à un cluster MSK.
Amazon MSK simplifie l'accès intercompte grâce à des [politiques de cluster](mvpc-cluster-owner-action-policy.md). Ces politiques permettent au propriétaire du cluster d'accorder des autorisations à d'autres AWS comptes afin d'établir une connectivité privée avec le cluster MSK.
## Avantages de la connectivité privée à plusieurs VPC
La connectivité privée à plusieurs VPC présente plusieurs avantages par rapport aux [autres solutions de connectivité](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access.html) :
+ Il automatise la gestion opérationnelle de la solution de AWS PrivateLink connectivité.
+ Il permet le chevauchement IPs entre les connexions VPCs, éliminant ainsi le besoin de maintenir des tables de peering et de routage complexes sans chevauchement IPs associées à d'autres solutions de connectivité VPC.
Vous utilisez une politique de cluster pour votre cluster MSK afin de définir les AWS comptes autorisés à configurer une connectivité privée entre comptes avec votre cluster MSK. L'administrateur intercompte peut déléguer des autorisations aux rôles ou aux utilisateurs appropriés. Lorsqu'elle est utilisée avec l'authentification du client IAM, vous pouvez également utiliser la politique de cluster pour définir sur une base granulaire les autorisations de plan de données Kafka pour les clients qui se connectent.
## Exigences et limites relatives à la connectivité privée à plusieurs VPC
Notez ces exigences de cluster MSK lors de l'exécution d'une connectivité privée à plusieurs VPC :
+ La connectivité privée à plusieurs VPC n'est prise en charge que sur la version 2.7.1 ou ultérieure d'Apache Kafka. Assurez-vous que tous les clients que vous utilisez avec le cluster MSK exécutent des versions d'Apache Kafka compatibles avec le cluster.
+ La connectivité privée à plusieurs VPC prend en charge les types d'authentification IAM, TLS et SASL/SCRAM. Les clusters non authentifiés ne peuvent pas utiliser la connectivité privée à plusieurs VPC.
+ Si vous utilisez les méthodes de contrôle d'accès SASL/SCRAM ou mTLS, vous devez configurer Apache Kafka ACLs pour votre cluster. Tout d'abord, configurez l'Apache Kafka ACLs pour votre cluster. Mettez ensuite à jour la configuration du cluster pour que la propriété `allow.everyone.if.no.acl.found` soit définie sur false pour le cluster. Pour de plus amples informations sur la manière de mettre à jour la configuration d'un cluster, consultez [Opérations de configuration du broker](msk-configuration-operations.md). Si vous utilisez le contrôle d'accès IAM et que vous souhaitez appliquer des politiques d'autorisation ou mettre à jour vos politiques d'autorisation, consultez [Contrôle d'accès IAM](iam-access-control.md). Pour plus d'informations sur Apache Kafka ACLs, consultez[Apache Kafka ACLs](msk-acls.md).
+ La connectivité privée à plusieurs VPC ne prend pas en charge le type d'instance t3.small.
+ La connectivité privée multi-VPC n'est pas prise en charge dans toutes AWS les régions, uniquement sur les AWS comptes d'une même région.
+ Pour configurer la connectivité privée multi-VPC, vous devez disposer du même nombre de sous-réseaux clients que de sous-réseaux de clusters. Vous devez également vous assurer que [la zone IDs de disponibilité est la](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) même pour le sous-réseau client et le sous-réseau du cluster.
+ Amazon MSK ne prend pas en charge la connectivité privée à plusieurs VPC aux nœuds ZooKeeper.
# Commencez à utiliser la connectivité privée multi-VPC
**Topics**
+ [Étape 1 : sur le cluster MSK du compte A, activez la connectivité à plusieurs VPC pour le schéma d'authentification IAM sur le cluster](mvpc-cluster-owner-action-turn-on.md)
+ [Étape 2 : attacher une politique de cluster au cluster MSK](mvpc-cluster-owner-action-policy.md)
+ [Étape 3 : actions des utilisateurs intercompte pour configurer les connexions VPC gérées par le client](mvpc-cross-account-user-action.md)
Ce didacticiel utilise un cas d'utilisation courant comme exemple de la manière dont vous pouvez utiliser la connectivité multi-VPC pour connecter en privé un client Apache Kafka à un cluster MSK depuis l'intérieur du VPC du cluster AWS, mais depuis l'extérieur. Ce processus nécessite que l'utilisateur intercompte crée une connexion VPC gérée par MSK et une configuration pour chaque client, y compris les autorisations client requises. Le processus nécessite également que le propriétaire du cluster MSK active la PrivateLink connectivité sur le cluster MSK et sélectionne des schémas d'authentification pour contrôler l'accès au cluster.
Dans différentes parties de ce didacticiel, nous choisissons les options qui s'appliquent à cet exemple. Cela ne signifie pas qu'il s'agit des seules options qui fonctionnent pour configurer un cluster MSK ou des instances clients.
La configuration réseau pour ce cas d'utilisation est la suivante :
+ Un utilisateur intercompte (client Kafka) et un cluster MSK se trouvent dans le(la) même réseau/région AWS , mais dans des comptes différents :
+ Cluster MSK dans le compte A
+ Client Kafka dans le compte B
+ L'utilisateur intercompte se connectera en privé au cluster MSK à l'aide du schéma d'authentification IAM.
Ce didacticiel part du principe qu'un cluster MSK alloué a été créé avec la version 2.7.1 ou supérieure d'Apache Kafka. Le cluster MSK doit être à l'état ACTIF avant de commencer le processus de configuration. Pour éviter d'éventuelles pertes de données ou interruptions de service, les clients qui utiliseront une connexion privée à plusieurs VPC pour se connecter au cluster doivent utiliser des versions d'Apache Kafka compatibles avec le cluster.
Le schéma suivant illustre l'architecture de la connectivité multi-VPC Amazon MSK connectée à un client dans un autre compte. AWS
![\[Schéma de réseau à plusieurs VPC dans une seule région\]](http://docs.aws.amazon.com/fr_fr/msk/latest/developerguide/images/mvpc-network.png)
# Étape 1 : sur le cluster MSK du compte A, activez la connectivité à plusieurs VPC pour le schéma d'authentification IAM sur le cluster
Le propriétaire du cluster MSK doit définir les paramètres de configuration du cluster MSK une fois que celui-ci a été créé et qu'il est à l'état ACTIF.
Le propriétaire du cluster active la connectivité privée à plusieurs VPC sur le cluster ACTIF pour tous les schémas d'authentification qui seront actifs sur le cluster. Cela peut être fait à l'aide de l'[UpdateSecurity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html) ou de la console MSK. Les schémas d'authentification IAM, SASL/SCRAM et TLS prennent en charge la connectivité privée à plusieurs VPC. La connectivité privée à plusieurs VPC ne peut pas être activée pour les clusters non authentifiés.
Dans ce cas d'utilisation, vous allez configurer le cluster pour qu'il utilise le schéma d'authentification IAM.
**Note**
Si vous configurez votre cluster MSK pour utiliser le schéma d' SASL/SCRAM authentification, la ACLs propriété Apache Kafka « `allow.everyone.if.no.acl.found=false` » est obligatoire. Voir [Apache Kafka ACLs](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html).
Lorsque vous mettez à jour les paramètres de connectivité privée à plusieurs VPC, Amazon MSK lance un redémarrage progressif des nœuds d'agent qui met à jour les configurations des agents. Cela peut prendre jusqu'à 30 minutes ou plus. Vous ne pouvez pas apporter d'autres mises à jour au cluster pendant que la connectivité est en cours de mise à jour.
**Activez la connectivité à plusieurs VPC pour les schémas d'authentification sélectionnés sur le cluster dans le compte A à l'aide de la console**
1. Ouvrez la console Amazon MSK à l'adresse [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)du compte sur lequel se trouve le cluster.
1. Dans le volet de navigation, sous **Clusters MSK**, choisissez **Clusters** pour afficher la liste des clusters du compte.
1. Sélectionnez le cluster à configurer pour la connectivité privée à plusieurs VPC. Le cluster doit être à l'état ACTIF.
1. Sélectionnez l'onglet **Propriétés** du cluster, puis accédez aux paramètres **Réseau**.
1. Sélectionnez le menu déroulant **Modifier**, puis sélectionnez **Activer la connectivité à plusieurs VPC**.
1. Sélectionnez un ou plusieurs types d'authentification que vous souhaitez activer pour ce cluster. Pour ce cas d'utilisation, sélectionnez **Authentification basée sur les rôles IAM**.
1. Cliquez sur **Enregistrer les modifications**.
**Example - UpdateConnectivity API qui active les schémas d'authentification de connectivité privée multi-VPC sur un cluster**
Comme alternative à la console MSK, vous pouvez utiliser l'[UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) pour activer la connectivité privée multi-VPC et configurer des schémas d'authentification sur un cluster ACTIVE. L'exemple suivant illustre le schéma d'authentification IAM activé pour le cluster.
```
{
"currentVersion": "K3T4TT2Z381HKD",
"connectivityInfo": {
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"iam": {
"enabled": TRUE
}
}
}
}
}
}
```
Amazon MSK crée l'infrastructure réseau requise pour la connectivité privée. Amazon MSK crée également un nouvel ensemble de points de terminaison d'agent d'amorçage pour chaque type d'authentification nécessitant une connectivité privée. Notez que le schéma d'authentification en texte brut ne prend pas en charge la connectivité privée à plusieurs VPC.
# Étape 2 : attacher une politique de cluster au cluster MSK
Le propriétaire du cluster peut attacher une politique de cluster (également appelée [politique basée sur des ressources](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies)) au cluster MSK pour lequel vous activerez la connectivité privée à plusieurs VPC. La politique de cluster autorise les clients à accéder au cluster à partir d'un autre compte. Avant de pouvoir modifier la politique de cluster, vous avez besoin du ou des ID des comptes qui doivent être autorisés à accéder au cluster MSK. Consultez [Fonctionnement d'Amazon MSK avec IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html).
Le propriétaire du cluster doit attacher une politique de cluster au cluster MSK qui autorise l'utilisateur intercompte du compte B à obtenir des agents d'amorçage pour le cluster et à autoriser les actions suivantes sur le cluster MSK dans le compte A :
+ CreateVpcConnection
+ GetBootstrapBrokers
+ DescribeCluster
+ DescribeClusterV2
**Example**
À titre de référence, voici un exemple du JSON pour une politique de cluster de base, similaire à la politique par défaut affichée dans l'éditeur de politiques IAM de la console MSK. La politique suivante accorde des autorisations pour l'accès au niveau du cluster, du sujet et du groupe.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2",
"kafka-cluster:*"
],
"Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
}
]
}
```
**Attacher une politique de cluster au cluster MSK**
1. Dans la console Amazon MSK, sous **Clusters MSK**, sélectionnez **Clusters**.
1. Faites défiler la page jusqu'à **Paramètres de sécurité** et sélectionnez **Modifier la politique de cluster**.
1. Dans la console, sur l'écran **Modifier la politique de cluster**, sélectionnez **Politique de base pour la connectivité à plusieurs VPC.**
1. Dans le champ **ID de compte**, entrez l'ID de compte pour chaque compte qui doit être autorisé à accéder à ce cluster. Lorsque vous tapez l'ID, il est automatiquement copié dans la syntaxe JSON de politique affichée. Dans notre exemple de politique de cluster, l'ID de compte est *111122223333*.
1. Sélectionnez **Enregistrer les modifications**.
Pour plus d'informations sur la politique de cluster APIs, consultez les politiques basées sur les [ressources Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies).
# Étape 3 : actions des utilisateurs intercompte pour configurer les connexions VPC gérées par le client
Pour configurer une connectivité privée à plusieurs VPC entre un client d'un compte différent de celui du cluster MSK, l'utilisateur intercompte crée une connexion VPC gérée pour le client. Plusieurs clients peuvent être connectés au cluster MSK en répétant cette procédure. Dans le cadre de ce cas d'utilisation, vous ne configurerez qu'un seul client.
Les clients peuvent utiliser les schémas d'authentification pris en charge (IAM, SASL/SCRAM ou TLS). Chaque connexion VPC gérée ne peut être associée qu'à un seul schéma d'authentification. Le schéma d'authentification du client doit être configuré sur le cluster MSK auquel le client va se connecter.
Dans ce cas d'utilisation, configurez le schéma d'authentification du client de sorte que le client du compte B utilise le schéma d'authentification IAM.
**Conditions préalables**
Ce processus nécessite les éléments suivants :
+ Politique de cluster créée précédemment qui accorde au client du compte B l'autorisation d'effectuer des actions sur le cluster MSK du compte A.
+ Politique d'identité attachée au client dans le compte B qui accorde des `kafka:CreateVpcConnection` autorisations `ec2:CreateVPCEndpoint` et `ec2:CreateTags` des `ec2:DescribeVpcAttribute` actions.
**Example**
À titre de référence, voici un exemple du JSON pour une politique d'identité client de base.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint",
"ec2:DescribeVpcAttribute"
],
"Resource": "*"
}
]
}
```
**Pour créer une connexion VPC gérée pour un client dans le compte B**
1. Obtenez auprès de l'administrateur du cluster l'**ARN de cluster** du cluster MSK du compte A auquel vous souhaitez que le client du compte B se connecte. Notez l'ARN du cluster à utiliser ultérieurement.
1. Dans la console MSK du compte client B, choisissez **Connexions VPC gérées**, puis sélectionnez **Créer une connexion**.
1. Dans le volet **Paramètres de connexion**, collez l'ARN du cluster dans le champ de texte ARN du cluster, puis choisissez **Vérifier**.
1. Sélectionnez le **type d'authentification** pour le client dans le compte B. Pour ce cas d'utilisation, choisissez IAM lors de la création de la connexion VPC du client.
1. Choisissez le **VPC** pour le client.
1. Choisissez au moins deux **zones** de disponibilité et les **sous-réseaux** associés. Vous pouvez obtenir la zone IDs de disponibilité à partir des détails du cluster de la console de AWS gestion ou à l'aide de l'[DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API ou de la commande [describe-cluster AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). La zone IDs que vous spécifiez pour le sous-réseau client doit correspondre à celle du sous-réseau du cluster. Si les valeurs d'un sous-réseau sont manquantes, créez d'abord un sous-réseau avec le même ID de zone que votre cluster MSK.
1. Choisissez un **groupe de sécurité** pour cette connexion VPC. Vous pouvez utiliser le groupe de sécurité par défaut. Pour plus d'informations sur la configuration d'un groupe de sécurité, consultez [Contrôler le trafic vers vos ressources à l'aide de groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html).
1. Sélectionnez **Créer une connexion**.
1. Pour obtenir la liste des nouvelles chaînes d'agent d'amorçage à partir de la console MSK de l'utilisateur intercompte (Détails du **cluster** > **Connexion VPC gérée**), consultez les chaînes d'agent d'amorçage affichées sous « **Chaîne de connexion au cluster** ». À partir du compte client B, la liste des courtiers bootstrap peut être consultée en appelant l'[GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API ou en consultant la liste des courtiers bootstrap dans les détails du cluster de console.
1. Mettez à jour les groupes de sécurité associés aux connexions VPC comme suit :
1. Définissez des **règles entrantes** pour le PrivateLink VPC afin d'autoriser tout le trafic de la plage d'adresses IP en provenance du réseau du compte B.
1. [Facultatif] Définissez des **règles sortantes** pour la connectivité au cluster MSK. Choisissez le **groupe de sécurité** dans la console VPC, **modifiez les règles sortantes** et ajoutez une règle pour le **trafic TCP personnalisé** pour les plages de ports 14001 à 14100. L'équilibreur de charge Network Load Balancer à plusieurs VPC écoute les plages de ports 14001 à 14100. Consultez [Équilibreurs de charge réseau](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html).
1. Configurez le client du compte B pour utiliser les nouveaux agents d'amorçage pour la connectivité privée à plusieurs VPC afin de se connecter au cluster MSK du compte A. Consultez [Produire et consommer des données](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html).
Une fois l'autorisation terminée, Amazon MSK crée une connexion VPC gérée pour chaque VPC et schéma d'authentification spécifiés. Le groupe de sécurité choisi est associé à chaque connexion. Cette connexion VPC gérée est configurée par Amazon MSK pour se connecter en privé aux agents. Vous pouvez utiliser le nouvel ensemble d'agents d'amorçage pour vous connecter en privé au cluster Amazon MSK.
# Mettre à jour les schémas d'autorisation sur un cluster
La connectivité privée multi-VPC prend en charge plusieurs schémas d'autorisation : connectivité SASL/SCRAM, IAM, and TLS. The cluster owner can turn on/off privée pour un ou plusieurs schémas d'authentification. Le cluster doit être à l'état ACTIF pour effectuer cette action.
**Pour activer un schéma d'authentification à l'aide de la console Amazon MSK**
1. Ouvrez la console Amazon MSK dans la [AWS Management Console](https://console.aws.amazon.com/msk) du cluster que vous souhaitez modifier.
1. Dans le volet de navigation, sous **Clusters MSK**, choisissez **Clusters** pour afficher la liste des clusters du compte.
1. Sélectionnez le cluster que vous souhaitez modifier. Le cluster doit être à l'état ACTIF.
1. Sélectionnez l'onglet **Propriétés** du cluster, puis accédez aux **paramètres réseau**.
1. Sélectionnez le menu déroulant **Modifier**, puis sélectionnez **Activer la connectivité à plusieurs VPC** pour activer un nouveau schéma d'authentification.
1. Sélectionnez un ou plusieurs types d'authentification que vous souhaitez activer pour ce cluster.
1. Sélectionnez **Activer la sélection**.
Lorsque vous activez un nouveau schéma d'authentification, vous devez également créer de nouvelles connexions VPC gérées pour le nouveau schéma d'authentification et mettre à jour vos clients afin qu'ils utilisent les agents d'amorçage spécifiques au nouveau schéma d'authentification.
**Pour désactiver un schéma d'authentification à l'aide de la console Amazon MSK**
**Note**
Lorsque vous désactivez la connectivité privée à plusieurs VPC pour les schémas d'authentification, toutes les infrastructures liées à la connectivité, y compris les connexions VPC gérées, sont supprimées.
Lorsque vous désactivez la connectivité privée à plusieurs VPC pour les schémas d'authentification, les connexions VPC existantes côté client deviennent INACTIVES, et l'infrastructure Privatelink côté cluster, y compris les connexions VPC gérées, est supprimée. L'utilisateur intercompte peut uniquement supprimer la connexion VPC inactive. Si la connectivité privée est réactivée sur le cluster, l'utilisateur intercompte doit créer une nouvelle connexion au cluster.
1. Ouvrez la console Amazon MSK dans la [AWS Management Console](https://console.aws.amazon.com/msk).
1. Dans le volet de navigation, sous **Clusters MSK**, choisissez **Clusters** pour afficher la liste des clusters du compte.
1. Sélectionnez le cluster que vous souhaitez modifier. Le cluster doit être à l'état ACTIF.
1. Sélectionnez l'onglet **Propriétés** du cluster, puis accédez aux **paramètres réseau**.
1. Sélectionnez le menu déroulant **Modifier**, puis sélectionnez **Désactiver la connectivité à plusieurs VPC** (pour désactiver un schéma d'authentification).
1. Sélectionnez un ou plusieurs types d'authentification que vous souhaitez désactiver pour ce cluster.
1. Sélectionnez **Désactiver la sélection**.
**Example Pour transformer on/off un schéma d'authentification avec l'API**
Comme alternative à la console MSK, vous pouvez utiliser l'[UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) pour activer la connectivité privée multi-VPC et configurer des schémas d'authentification sur un cluster ACTIVE. L'exemple suivant montre SASL/SCRAM les schémas d'authentification IAM activés pour le cluster.
Lorsque vous activez un nouveau schéma d'authentification, vous devez également créer de nouvelles connexions VPC gérées pour le nouveau schéma d'authentification et mettre à jour vos clients afin qu'ils utilisent les agents d'amorçage spécifiques au nouveau schéma d'authentification.
Lorsque vous désactivez la connectivité privée à plusieurs VPC pour les schémas d'authentification, les connexions VPC existantes côté client deviennent INACTIVES, et l'infrastructure Privatelink côté cluster, y compris les connexions VPC gérées, est supprimée. L'utilisateur intercompte peut uniquement supprimer la connexion VPC inactive. Si la connectivité privée est réactivée sur le cluster, l'utilisateur intercompte doit créer une nouvelle connexion au cluster.
```
Request:
{
"currentVersion": "string",
"connnectivityInfo": {
"publicAccess": {
"type": "string"
},
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"scram": {
"enabled": TRUE
},
"iam": {
"enabled": TRUE
}
},
"tls": {
"enabled": FALSE
}
}
}
}
}
Response:
{
"clusterArn": "string",
"clusterOperationArn": "string"
}
```
# Refuser une connexion VPC gérée à un cluster Amazon MSK
Dans la console Amazon MSK du compte administrateur du cluster, vous pouvez refuser une connexion VPC du client. La connexion VPC du client doit être à l'état DISPONIBLE pour être refusée. Vous souhaiterez peut-être refuser une connexion VPC gérée provenant d'un client qui n'est plus autorisé à se connecter à votre cluster. Pour empêcher les nouvelles connexions VPC gérées de se connecter à un client, refusez l'accès au client dans la politique de cluster. Une connexion refusée entraîne toujours des frais jusqu'à ce qu'elle soit supprimée par le propriétaire de la connexion. Consultez [Supprimer une connexion VPC gérée à un cluster Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/mvpc-cross-account-delete-connection.html).
**Pour refuser une connexion VPC du client à l'aide de la console MSK**
1. Ouvrez la console Amazon MSK dans la [AWS Management Console](https://console.aws.amazon.com/msk).
1. Dans le volet de navigation, sélectionnez **Clusters** et accédez à la liste **Paramètres réseau > Connexions VPC du client**.
1. Sélectionnez la connexion que vous souhaitez refuser, puis sélectionnez **Refuser la connexion VPC du client**.
1. Confirmez que vous souhaitez refuser la connexion VPC du client sélectionnée.
Pour refuser une connexion VPC gérée à l'aide de l'API, utilisez l'API `RejectClientVpcConnection`.
# Supprimer une connexion VPC gérée à un cluster Amazon MSK
L'utilisateur intercompte peut supprimer une connexion VPC gérée pour un cluster MSK dans la console du compte client. Étant donné que l'utilisateur propriétaire du cluster ne possède pas la connexion VPC gérée, celle-ci ne peut pas être supprimée du compte administrateur du cluster. Une fois qu'une connexion VPC est supprimée, elle n'entraîne plus de frais.
**Pour supprimer une connexion VPC gérée à l'aide de la console MSK**
1. Dans le compte client, ouvrez la console Amazon MSK dans la [AWS Management Console](https://console.aws.amazon.com/msk).
1. Dans le volet de navigation, sélectionnez **Connexions VPC gérées**.
1. Dans la liste des connexions, sélectionnez la connexion que vous souhaitez supprimer.
1. Confirmez que vous voulez supprimer la connexion VPC.
Pour supprimer une connexion VPC gérée à l'aide de l'API, utilisez l'API `DeleteVpcConnection`.
# Autorisations pour la connectivité privée à plusieurs VPC
Cette section résume les autorisations requises pour les clients et les clusters à l'aide de la fonctionnalité de connectivité privée à plusieurs VPC. La connectivité privée à plusieurs VPC nécessite que l'administrateur du client crée des autorisations pour chaque client qui disposera d'une connexion VPC gérée au cluster MSK. L'administrateur du cluster MSK doit également activer la PrivateLink connectivité sur le cluster MSK et sélectionner des schémas d'authentification pour contrôler l'accès au cluster.
**Type d'authentification du cluster et autorisations d'accès aux rubriques**
Activez la fonctionnalité de connectivité privée à plusieurs VPC pour les schémas d'authentification activés pour votre cluster MSK. Consultez [Exigences et limites relatives à la connectivité privée à plusieurs VPC](aws-access-mult-vpc.md#mvpc-requirements). Si vous configurez votre cluster MSK pour utiliser le schéma d' SASL/SCRAM authentification, la ACLs propriété `allow.everyone.if.no.acl.found=false` Apache Kafka est obligatoire. Après avoir défini les [Apache Kafka ACLs](msk-acls.md) pour votre cluster, mettez à jour la configuration du cluster pour que la propriété `allow.everyone.if.no.acl.found` soit définie sur false pour le cluster. Pour de plus amples informations sur la manière de mettre à jour la configuration d'un cluster, consultez [Opérations de configuration du broker](msk-configuration-operations.md).
**Autorisations de politique de cluster intercompte**
Si le AWS compte d'un client Kafka est différent de celui du cluster MSK, associez au cluster MSK une politique basée sur le cluster qui autorise l'utilisateur root du client à établir une connectivité entre comptes. Vous pouvez modifier la politique de cluster multi-VPC à l'aide de l'éditeur de stratégie IAM de la console MSK (**Paramètres de sécurité** du cluster > **Modifier la stratégie de cluster), ou utiliser ce qui suit APIs pour gérer la politique** de cluster :
**PutClusterPolicy**
Attache une politique de cluster au cluster. Vous pouvez utiliser cette API pour créer ou mettre à jour la politique de cluster MSK spécifiée. Si vous mettez à jour la politique, le champ CurrentVersion est obligatoire dans la charge utile de la demande.
**GetClusterPolicy**
Récupère le texte JSON du document de politique de cluster attaché au cluster.
**DeleteClusterPolicy**
Supprime la politique de cluster.
Voici un exemple du JSON pour une politique de cluster de base, similaire à celle affichée dans l'éditeur de politiques IAM de la console MSK. La politique suivante accorde des autorisations pour l'accès au niveau du cluster, du sujet et du groupe.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"kafka-cluster:*",
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2",
"arn:aws:kafka:us-east-1:123456789012:topic/testing/*",
"arn:aws:kafka:us-east-1:123456789012:group/testing/*"
]
}]
}
```
------
**Autorisations client pour la connectivité privée à plusieurs VPC à un cluster MSK**
Pour configurer une connectivité privée à plusieurs VPC entre un client Kafka et un cluster MSK, le client a besoin d'une politique d'identité attachée qui accorde des autorisations pour des actions `kafka:CreateVpcConnection`, `ec2:CreateTags` et `ec2:CreateVPCEndpoint` sur le client. À titre de référence, voici un exemple du JSON pour une politique d'identité client de base.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint"
],
"Resource": "*"
}
]
}
```
------
# Informations sur le port
Utilisez les numéros de port suivants pour qu'Amazon MSK puisse communiquer avec les ordinateurs clients :
+ Pour communiquer avec les agents en texte brut, utilisez le port 9092.
+ Pour communiquer avec les courtiers à l'aide du chiffrement TLS, utilisez le port 9094 pour l'accès depuis l'intérieur AWS et le port 9194 pour l'accès public.
+ Pour communiquer avec les courtiers via SASL/SCRAM, utilisez le port 9096 pour l'accès depuis l'intérieur AWS et le port 9196 pour l'accès public.
+ Pour communiquer avec les courtiers d'un cluster configuré pour être utilisé[Contrôle d'accès IAM](iam-access-control.md), utilisez le port 9098 pour l'accès depuis l'intérieur AWS et le port 9198 pour l'accès public.
+ Pour communiquer avec les courtiers en utilisant le type de IPv6 réseau en texte brut, utilisez le port 20092
+ Pour communiquer avec les courtiers d'un cluster configuré pour utiliser le contrôle d'accès IAM à l'aide IPv6 du port 20098.
+ Pour communiquer avec les courtiers SASL/SCRAM en utilisant IPv6, utilisez le port 20096.
+ Pour communiquer avec les courtiers à l'aide du chiffrement TLS IPv6, utilisez le port 20094.