Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Commencez à utiliser la connectivité privée multi-VPC
<a name="mvpc-getting-started"></a>

**Topics**
+ [Étape 1 : sur le cluster MSK du compte A, activez la connectivité à plusieurs VPC pour le schéma d'authentification IAM sur le cluster](mvpc-cluster-owner-action-turn-on.md)
+ [Étape 2 : attacher une politique de cluster au cluster MSK](mvpc-cluster-owner-action-policy.md)
+ [Étape 3 : actions des utilisateurs intercompte pour configurer les connexions VPC gérées par le client](mvpc-cross-account-user-action.md)

Ce didacticiel utilise un cas d'utilisation courant comme exemple de la manière dont vous pouvez utiliser la connectivité multi-VPC pour connecter en privé un client Apache Kafka à un cluster MSK depuis l'intérieur du VPC du cluster AWS, mais depuis l'extérieur. Ce processus nécessite que l'utilisateur intercompte crée une connexion VPC gérée par MSK et une configuration pour chaque client, y compris les autorisations client requises. Le processus nécessite également que le propriétaire du cluster MSK active la PrivateLink connectivité sur le cluster MSK et sélectionne des schémas d'authentification pour contrôler l'accès au cluster.

Dans différentes parties de ce didacticiel, nous choisissons les options qui s'appliquent à cet exemple. Cela ne signifie pas qu'il s'agit des seules options qui fonctionnent pour configurer un cluster MSK ou des instances clients.

La configuration réseau pour ce cas d'utilisation est la suivante :
+ Un utilisateur intercompte (client Kafka) et un cluster MSK se trouvent dans le(la) même réseau/région AWS , mais dans des comptes différents :
  + Cluster MSK dans le compte A
  + Client Kafka dans le compte B
+ L'utilisateur intercompte se connectera en privé au cluster MSK à l'aide du schéma d'authentification IAM.

Ce didacticiel part du principe qu'un cluster MSK alloué a été créé avec la version 2.7.1 ou supérieure d'Apache Kafka. Le cluster MSK doit être à l'état ACTIF avant de commencer le processus de configuration. Pour éviter d'éventuelles pertes de données ou interruptions de service, les clients qui utiliseront une connexion privée à plusieurs VPC pour se connecter au cluster doivent utiliser des versions d'Apache Kafka compatibles avec le cluster.

Le schéma suivant illustre l'architecture de la connectivité multi-VPC Amazon MSK connectée à un client dans un autre compte. AWS 

![\[Schéma de réseau à plusieurs VPC dans une seule région\]](http://docs.aws.amazon.com/fr_fr/msk/latest/developerguide/images/mvpc-network.png)


# Étape 1 : sur le cluster MSK du compte A, activez la connectivité à plusieurs VPC pour le schéma d'authentification IAM sur le cluster
<a name="mvpc-cluster-owner-action-turn-on"></a>

Le propriétaire du cluster MSK doit définir les paramètres de configuration du cluster MSK une fois que celui-ci a été créé et qu'il est à l'état ACTIF.

Le propriétaire du cluster active la connectivité privée à plusieurs VPC sur le cluster ACTIF pour tous les schémas d'authentification qui seront actifs sur le cluster. Cela peut être fait à l'aide de l'[UpdateSecurity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html) ou de la console MSK. Les schémas d'authentification IAM, SASL/SCRAM et TLS prennent en charge la connectivité privée à plusieurs VPC. La connectivité privée à plusieurs VPC ne peut pas être activée pour les clusters non authentifiés.

Dans ce cas d'utilisation, vous allez configurer le cluster pour qu'il utilise le schéma d'authentification IAM.

**Note**  
Si vous configurez votre cluster MSK pour utiliser le schéma d' SASL/SCRAM authentification, la ACLs propriété Apache Kafka « `allow.everyone.if.no.acl.found=false` » est obligatoire. Voir [Apache Kafka ACLs](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html).

Lorsque vous mettez à jour les paramètres de connectivité privée à plusieurs VPC, Amazon MSK lance un redémarrage progressif des nœuds d'agent qui met à jour les configurations des agents. Cela peut prendre jusqu'à 30 minutes ou plus. Vous ne pouvez pas apporter d'autres mises à jour au cluster pendant que la connectivité est en cours de mise à jour.

**Activez la connectivité à plusieurs VPC pour les schémas d'authentification sélectionnés sur le cluster dans le compte A à l'aide de la console**

1. Ouvrez la console Amazon MSK à l'adresse [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)du compte sur lequel se trouve le cluster.

1. Dans le volet de navigation, sous **Clusters MSK**, choisissez **Clusters** pour afficher la liste des clusters du compte.

1. Sélectionnez le cluster à configurer pour la connectivité privée à plusieurs VPC. Le cluster doit être à l'état ACTIF.

1. Sélectionnez l'onglet **Propriétés** du cluster, puis accédez aux paramètres **Réseau**.

1. Sélectionnez le menu déroulant **Modifier**, puis sélectionnez **Activer la connectivité à plusieurs VPC**.

1. Sélectionnez un ou plusieurs types d'authentification que vous souhaitez activer pour ce cluster. Pour ce cas d'utilisation, sélectionnez **Authentification basée sur les rôles IAM**.

1. Cliquez sur **Enregistrer les modifications**.

**Example - UpdateConnectivity API qui active les schémas d'authentification de connectivité privée multi-VPC sur un cluster**  
Comme alternative à la console MSK, vous pouvez utiliser l'[UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) pour activer la connectivité privée multi-VPC et configurer des schémas d'authentification sur un cluster ACTIVE. L'exemple suivant illustre le schéma d'authentification IAM activé pour le cluster.  

```
{
  "currentVersion": "K3T4TT2Z381HKD",
  "connectivityInfo": {
    "vpcConnectivity": {
      "clientAuthentication": {
        "sasl": {
          "iam": {
            "enabled": TRUE
            }
        }
      }
    }
  }
}
```

Amazon MSK crée l'infrastructure réseau requise pour la connectivité privée. Amazon MSK crée également un nouvel ensemble de points de terminaison d'agent d'amorçage pour chaque type d'authentification nécessitant une connectivité privée. Notez que le schéma d'authentification en texte brut ne prend pas en charge la connectivité privée à plusieurs VPC.

# Étape 2 : attacher une politique de cluster au cluster MSK
<a name="mvpc-cluster-owner-action-policy"></a>

Le propriétaire du cluster peut attacher une politique de cluster (également appelée [politique basée sur des ressources](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies)) au cluster MSK pour lequel vous activerez la connectivité privée à plusieurs VPC. La politique de cluster autorise les clients à accéder au cluster à partir d'un autre compte. Avant de pouvoir modifier la politique de cluster, vous avez besoin du ou des ID des comptes qui doivent être autorisés à accéder au cluster MSK. Consultez [Fonctionnement d'Amazon MSK avec IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html).

Le propriétaire du cluster doit attacher une politique de cluster au cluster MSK qui autorise l'utilisateur intercompte du compte B à obtenir des agents d'amorçage pour le cluster et à autoriser les actions suivantes sur le cluster MSK dans le compte A :
+ CreateVpcConnection
+ GetBootstrapBrokers
+ DescribeCluster
+ DescribeClusterV2

**Example**  
À titre de référence, voici un exemple du JSON pour une politique de cluster de base, similaire à la politique par défaut affichée dans l'éditeur de politiques IAM de la console MSK. La politique suivante accorde des autorisations pour l'accès au niveau du cluster, du sujet et du groupe.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": [
        "kafka:CreateVpcConnection",
        "kafka:GetBootstrapBrokers",
        "kafka:DescribeCluster",
        "kafka:DescribeClusterV2",
        "kafka-cluster:*"
      ],
      "Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
    }
  ]
}
```

**Attacher une politique de cluster au cluster MSK**

1. Dans la console Amazon MSK, sous **Clusters MSK**, sélectionnez **Clusters**.

1. Faites défiler la page jusqu'à **Paramètres de sécurité** et sélectionnez **Modifier la politique de cluster**.

1. Dans la console, sur l'écran **Modifier la politique de cluster**, sélectionnez **Politique de base pour la connectivité à plusieurs VPC.**

1. Dans le champ **ID de compte**, entrez l'ID de compte pour chaque compte qui doit être autorisé à accéder à ce cluster. Lorsque vous tapez l'ID, il est automatiquement copié dans la syntaxe JSON de politique affichée. Dans notre exemple de politique de cluster, l'ID de compte est *111122223333*.

1. Sélectionnez **Enregistrer les modifications**.

Pour plus d'informations sur la politique de cluster APIs, consultez les politiques basées sur les [ressources Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies).

# Étape 3 : actions des utilisateurs intercompte pour configurer les connexions VPC gérées par le client
<a name="mvpc-cross-account-user-action"></a>

Pour configurer une connectivité privée à plusieurs VPC entre un client d'un compte différent de celui du cluster MSK, l'utilisateur intercompte crée une connexion VPC gérée pour le client. Plusieurs clients peuvent être connectés au cluster MSK en répétant cette procédure. Dans le cadre de ce cas d'utilisation, vous ne configurerez qu'un seul client.

Les clients peuvent utiliser les schémas d'authentification pris en charge (IAM, SASL/SCRAM ou TLS). Chaque connexion VPC gérée ne peut être associée qu'à un seul schéma d'authentification. Le schéma d'authentification du client doit être configuré sur le cluster MSK auquel le client va se connecter.

 Dans ce cas d'utilisation, configurez le schéma d'authentification du client de sorte que le client du compte B utilise le schéma d'authentification IAM.

**Conditions préalables**

Ce processus nécessite les éléments suivants :
+ Politique de cluster créée précédemment qui accorde au client du compte B l'autorisation d'effectuer des actions sur le cluster MSK du compte A.
+ Politique d'identité attachée au client dans le compte B qui accorde des `kafka:CreateVpcConnection` autorisations `ec2:CreateVPCEndpoint` et `ec2:CreateTags` des `ec2:DescribeVpcAttribute` actions.

**Example**  
À titre de référence, voici un exemple du JSON pour une politique d'identité client de base.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kafka:CreateVpcConnection",
        "ec2:CreateTags",
        "ec2:CreateVPCEndpoint",
        "ec2:DescribeVpcAttribute"
      ],
      "Resource": "*"
    }
  ]
}
```

**Pour créer une connexion VPC gérée pour un client dans le compte B**

1. Obtenez auprès de l'administrateur du cluster l'**ARN de cluster** du cluster MSK du compte A auquel vous souhaitez que le client du compte B se connecte. Notez l'ARN du cluster à utiliser ultérieurement.

1. Dans la console MSK du compte client B, choisissez **Connexions VPC gérées**, puis sélectionnez **Créer une connexion**.

1. Dans le volet **Paramètres de connexion**, collez l'ARN du cluster dans le champ de texte ARN du cluster, puis choisissez **Vérifier**.

1. Sélectionnez le **type d'authentification** pour le client dans le compte B. Pour ce cas d'utilisation, choisissez IAM lors de la création de la connexion VPC du client.

1. Choisissez le **VPC** pour le client.

1. Choisissez au moins deux **zones** de disponibilité et les **sous-réseaux** associés. Vous pouvez obtenir la zone IDs de disponibilité à partir des détails du cluster de la console de AWS gestion ou à l'aide de l'[DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API ou de la commande [describe-cluster AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). La zone IDs que vous spécifiez pour le sous-réseau client doit correspondre à celle du sous-réseau du cluster. Si les valeurs d'un sous-réseau sont manquantes, créez d'abord un sous-réseau avec le même ID de zone que votre cluster MSK.

1. Choisissez un **groupe de sécurité** pour cette connexion VPC. Vous pouvez utiliser le groupe de sécurité par défaut. Pour plus d'informations sur la configuration d'un groupe de sécurité, consultez [Contrôler le trafic vers vos ressources à l'aide de groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html).

1. Sélectionnez **Créer une connexion**.

1. Pour obtenir la liste des nouvelles chaînes d'agent d'amorçage à partir de la console MSK de l'utilisateur intercompte (Détails du **cluster** > **Connexion VPC gérée**), consultez les chaînes d'agent d'amorçage affichées sous « **Chaîne de connexion au cluster** ». À partir du compte client B, la liste des courtiers bootstrap peut être consultée en appelant l'[GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API ou en consultant la liste des courtiers bootstrap dans les détails du cluster de console.

1. Mettez à jour les groupes de sécurité associés aux connexions VPC comme suit :

   1. Définissez des **règles entrantes** pour le PrivateLink VPC afin d'autoriser tout le trafic de la plage d'adresses IP en provenance du réseau du compte B.

   1. [Facultatif] Définissez des **règles sortantes** pour la connectivité au cluster MSK. Choisissez le **groupe de sécurité** dans la console VPC, **modifiez les règles sortantes** et ajoutez une règle pour le **trafic TCP personnalisé** pour les plages de ports 14001 à 14100. L'équilibreur de charge Network Load Balancer à plusieurs VPC écoute les plages de ports 14001 à 14100. Consultez [Équilibreurs de charge réseau](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html).

1. Configurez le client du compte B pour utiliser les nouveaux agents d'amorçage pour la connectivité privée à plusieurs VPC afin de se connecter au cluster MSK du compte A. Consultez [Produire et consommer des données](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html).

Une fois l'autorisation terminée, Amazon MSK crée une connexion VPC gérée pour chaque VPC et schéma d'authentification spécifiés. Le groupe de sécurité choisi est associé à chaque connexion. Cette connexion VPC gérée est configurée par Amazon MSK pour se connecter en privé aux agents. Vous pouvez utiliser le nouvel ensemble d'agents d'amorçage pour vous connecter en privé au cluster Amazon MSK.