View a markdown version of this page

Configuration des prérequis pour MSK Replicator avec des clusters Apache Kafka autogérés - Amazon Managed Streaming for Apache Kafka

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des prérequis pour MSK Replicator avec des clusters Apache Kafka autogérés

Création d'un rôle d'exécution IAM

Créez un rôle IAM avec une politique de confiance pourkafka.amazonaws.com. Joignez la politique AWSMSKReplicatorExecutionRole gérée. La politique gérée accorde au Replicator les autorisations Kafka nécessaires au niveau du cluster, du sujet et du groupe de consommateurs, mais elle n'inclut AWS Secrets Manager pas les AWS KMS autorisations requises pour l'authentification et les informations d'identification. SASL/SCRAM CMK-encrypted Pour les extraits de politique intégrés à ajouter, consultez. Autorisations SER supplémentaires pour SASL/SCRAM, les MTL et les clés gérées par le client

Exemple de politique de confiance :

{ "Statement": [{ "Effect": "Allow", "Principal": {"Service": "kafka.amazonaws.com"}, "Action": "sts:AssumeRole" }] }

Configuration des autorisations SASL/SCRAM utilisateur et ACL

Créez un utilisateur SCRAM dédié sur votre cluster Kafka autogéré. Les autorisations ACL suivantes sont requises :

  1. Lisez, décrivez sur tous les sujets

  2. Lisez et décrivez sur tous les groupes de consommateurs

  3. Décrire une ressource de cluster

Exemples de commandes kafka-acls.sh :

# Grant Read and Describe on all topics kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --topic '*' # Grant Read and Describe on all consumer groups kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --group '*' # Grant Describe on cluster kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Describe --cluster

Configurer les MTL sur un cluster autogéré

Configurez un écouteur SSL sur vos courtiers Kafka autogérés avec. ssl.client.auth=required Le truststore du courtier doit contenir le certificat CA qui a signé le certificat client que vous utiliserez pour MSK Replicator.

Accordez des autorisations ACL au principal Kafka dérivées du nom distinctif (DN) du certificat client. Les autorisations requises sont les suivantes : lire et décrire sur tous les sujets, lire et décrire sur tous les groupes de consommateurs et décrire sur la ressource du cluster.

Configuration du protocole SSL sur un cluster autogéré

Configurez les écouteurs SSL sur vos courtiers. Pour les certificats approuvés par le public, aucune configuration supplémentaire n'est requise. Pour les certificats privés ou auto-signés, incluez la chaîne complète de certificats CA dans le secret stocké dans AWS Secrets Manager.

Stockez les informations d'identification dans AWS Secrets Manager

Créez un secret de type Autre (non RDS/Redshift) dans AWS Secrets Manager avec les paires clé-valeur appropriées pour votre type d'authentification.

Pour SASL/SCRAM :

  1. username— Nom d'utilisateur SCRAM pour le cluster autogéré

  2. password— Mot de passe SCRAM pour le cluster autogéré

  3. certificate— Chaîne de certificats CA (format PEM ; obligatoire pour les certificats private/self signés)

Pour les MTL :

  1. certificate— chaîne de certificats PEM-encoded clients

  2. privateKey— clé PEM-encoded privée

  3. privateKeyPassword— (Facultatif) Phrase secrète pour la clé privée, requise uniquement pour les clés PKCS8 cryptées

Configuration de la connectivité réseau

MSK Replicator nécessite une connectivité réseau à votre cluster Kafka autogéré. Options prises en charge :

  • AWS Site-to-Site VPN — Connectez les réseaux locaux à votre VPC via Internet.

  • AWS Direct Connect — Établissez une connexion réseau privée dédiée entre vos locaux et AWS.

Configurer des groupes de sécurité

Assurez-vous que les groupes de sécurité autorisent le trafic entre MSK Replicator et le cluster autogéré sur le port utilisé par votre écouteur d'authentification. Mettez à jour les règles entrantes sur les groupes de sécurité VPC et les règles sortantes sur le pare-feu de cluster autogéré.