Activer l'accès public à un cluster MSK provisionné - Amazon Managed Streaming for Apache Kafka

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer l'accès public à un cluster MSK provisionné

Amazon vous MSK donne la possibilité d'activer l'accès public aux courtiers des clusters MSK provisionnés exécutant Apache Kafka 2.6.0 ou des versions ultérieures. Pour des raisons de sécurité, vous ne pouvez pas activer l'accès public lors de la création d'un MSK cluster. Toutefois, vous pouvez mettre à jour un cluster existant pour le rendre accessible au public. Vous pouvez également créer un cluster, puis le mettre à jour pour le rendre accessible au public.

Vous pouvez activer l'accès public à un MSK cluster sans frais supplémentaires, mais les coûts de transfert de AWS données standard s'appliquent pour le transfert de données vers et depuis le cluster. Pour plus d'informations sur les tarifs, consultez la section Tarification EC2 à la demande d'Amazon.

Pour activer l'accès public à un cluster MSK provisionné, assurez-vous d'abord que le cluster répond à toutes les conditions suivantes :

  • Les sous-réseaux associés au cluster doivent être publics. Cela signifie que les sous-réseaux doivent avoir une table de routage associée à une passerelle Internet. Pour plus d'informations sur la création et l'attachement d'une passerelle Internet, consultez la section Passerelles Internet du guide de l'VPCutilisateur Amazon.

  • Le contrôle d'accès non authentifié doit être désactivé et au moins l'une des méthodes de contrôle d'accès suivantes doit être activée :, m. SASL/IAM, SASL/SCRAM TLS Pour de plus amples informations sur la manière de mettre à jour la méthode de contrôle d'accès d'un cluster, consultez Mettre à jour les paramètres de sécurité d'un MSK cluster Amazon.

  • Le chiffrement au sein du cluster doit être activé. Le paramètre Activé est la valeur par défaut lors de la création d'un cluster. Il n'est pas possible d'activer le chiffrement au sein du cluster pour un cluster créé alors qu'il était désactivé. Il n'est dès lors pas possible d'activer l'accès public pour un cluster créé alors que le chiffrement était désactivé.

  • Le trafic en texte brut entre les agents et les clients doit être désactivé. Pour plus d'informations sur la manière de le désactiver s'il est activé, consultez Mettre à jour les paramètres de sécurité d'un MSK cluster Amazon.

  • Si vous utilisez les méthodes de TLS contrôle d'accèsSASL/SCRAMou m, vous devez configurer Apache Kafka ACLs pour votre cluster. Après avoir défini Apache Kafka ACLs pour votre cluster, mettez à jour la configuration du cluster pour que la propriété soit définie allow.everyone.if.no.acl.found sur false pour le cluster. Pour de plus amples informations sur la manière de mettre à jour la configuration d'un cluster, consultez Opérations de configuration du broker. Si vous utilisez le contrôle IAM d'accès et que vous souhaitez appliquer des politiques d'autorisation ou mettre à jour vos politiques d'autorisation, consultezIAMcontrôle d'accès. Pour plus d'informations sur Apache KafkaACLs, consultezApache Kafka ACLs.

Une fois que vous vous êtes assuré qu'un MSK cluster répond aux conditions répertoriées ci-dessus AWS Management Console, vous pouvez utiliser le AWS CLI, le ou Amazon MSK API pour activer l'accès public. Après avoir activé l'accès public à un cluster, vous pouvez obtenir une chaîne bootstrap-brokers publique pour celui-ci. Pour de plus amples informations sur l'obtention des agents d'amorçage pour un cluster, consultez Trouvez les courtiers Bootstrap pour un cluster Amazon MSK.

Important

Outre l'activation de l'accès public, assurez-vous que les groupes de sécurité du cluster disposent de TCP règles entrantes qui autorisent l'accès public depuis votre adresse IP. Nous vous recommandons de rendre ces règles aussi restrictives que possible. Pour plus d'informations sur les groupes de sécurité et les règles de trafic entrant, consultez la section Groupes de sécurité correspondants VPC dans le guide de VPC l'utilisateur Amazon. Pour les numéros de port, consultez Informations sur le port. Pour obtenir des instructions sur la manière de modifier le groupe de sécurité d'un cluster, consultez Modifier le groupe de sécurité d'un MSK cluster Amazon.

Note

Si vous utilisez les instructions suivantes pour activer l'accès public et que vous ne parvenez toujours pas à accéder au cluster, consultez Impossible d'accéder au cluster dont l'accès public est activé.

Activation de l'accès public à l'aide de la console

  1. Connectez-vous à la AWS Management Console MSK console Amazon et ouvrez-la https://console.aws.amazon.com/msk/chez vous ? region=us-east-1#/home/.

  2. Dans la liste des clusters, choisissez le cluster pour lequel vous souhaitez activer l'accès public.

  3. Choisissez l'onglet Propriétés, puis recherchez la section Paramètres réseau.

  4. Choisissez Modifier l'accès public.

Activation de l'accès public à l'aide du AWS CLI

  1. Exécutez la AWS CLI commande suivante en Current-Cluster-Version remplaçant ClusterArn ARN et par la version actuelle du cluster. Pour trouver la version actuelle du cluster, utilisez l'DescribeClusteropération ou la commande describe-cluster AWS CLI . Voici un exemple de version : KTVPDKIKX0DER.

    aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'

    Le résultat de cette update-connectivity commande ressemble à l'JSONexemple suivant.

    {
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
    Note

    Pour désactiver l'accès public, utilisez une AWS CLI commande similaire, mais avec les informations de connectivité suivantes à la place :

    '{"PublicAccess": {"Type": "DISABLED"}}'

  2. Pour obtenir le résultat de l'update-connectivityopération, exécutez la commande suivante en la ClusterOperationArn remplaçant par ARN celle que vous avez obtenue dans le résultat de la update-connectivity commande.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    Le résultat de cette describe-cluster-operation commande ressemble à l'JSONexemple suivant.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2019-06-20T21:08:57.735Z",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "UPDATE_COMPLETE",
        "OperationType": "UPDATE_CONNECTIVITY",
        "SourceClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "DISABLED"
                }
            }
        },
        "TargetClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "SERVICE_PROVIDED_EIPS"
                }
            }
        }
    }
}

    Si OperationState a la valeur UPDATE_IN_PROGRESS, attendez un moment, puis exécutez à nouveau la commande describe-cluster-operation.

Activer l'accès public à l'aide d'Amazon MSK API
Note

Pour des raisons de sécurité, Amazon MSK n'autorise pas l'accès public aux nœuds Apache ZooKeeper ou aux KRaft nœuds de contrôle.