Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activer l'accès public à un cluster provisionné par MSK
Amazon MSK vous donne la possibilité d'activer l'accès public aux courtiers des clusters provisionnés par MSK exécutant Apache Kafka 2.6.0 ou des versions ultérieures. Pour des raisons de sécurité, vous ne pouvez pas activer l'accès public lors de la création d'un cluster MSK. Toutefois, vous pouvez mettre à jour un cluster existant pour le rendre accessible au public. Vous pouvez également créer un cluster, puis le mettre à jour pour le rendre accessible au public.
Vous pouvez activer l'accès public à un cluster MSK sans frais supplémentaires, mais les coûts de transfert de AWS données standard s'appliquent pour le transfert de données vers et depuis le cluster. Pour plus d'informations sur les tarifs, consultez la section Tarification EC2 à la demande d'Amazon
Pour activer l'accès public à un cluster provisionné par MSK, assurez-vous d'abord que le cluster répond à toutes les conditions suivantes :
Les sous-réseaux associés au cluster doivent être publics. Chaque sous-réseau public est associé à une IPv4 adresse publique et les IPv4 adresses publiques sont facturées comme indiqué sur la page de tarification d'Amazon VPC
. Cela signifie que les sous-réseaux doivent avoir une table de routage associée à une passerelle Internet. Pour plus d'informations sur la création et l'attachement d'une passerelle Internet, consultez la section Activer l'accès Internet VPC à l'aide de passerelles Internet dans le guide de l'utilisateur Amazon VPC. Le contrôle d'accès non authentifié doit être désactivé et au moins l'une des méthodes de contrôle d'accès suivantes doit être activée :, mTLS. SASL/IAM, SASL/SCRAM Pour de plus amples informations sur la manière de mettre à jour la méthode de contrôle d'accès d'un cluster, consultez Mettre à jour les paramètres de sécurité d'un cluster Amazon MSK.
-
Le chiffrement au sein du cluster doit être activé. Le paramètre Activé est la valeur par défaut lors de la création d'un cluster. Il n'est pas possible d'activer le chiffrement au sein du cluster pour un cluster créé alors qu'il était désactivé. Il n'est dès lors pas possible d'activer l'accès public pour un cluster créé alors que le chiffrement était désactivé.
-
Le trafic en texte brut entre les agents et les clients doit être désactivé. Pour plus d'informations sur la manière de le désactiver s'il est activé, consultez Mettre à jour les paramètres de sécurité d'un cluster Amazon MSK.
-
Si vous utilisez les méthodes de contrôle d'accès SASL/SCRAM ou mTLS, vous devez configurer Apache Kafka pour votre cluster. ACLs Après avoir défini Apache Kafka ACLs pour votre cluster, mettez à jour la configuration du cluster pour que la propriété soit définie
allow.everyone.if.no.acl.foundsur false pour le cluster. Pour de plus amples informations sur la manière de mettre à jour la configuration d'un cluster, consultez Opérations de configuration du broker. Si vous utilisez le contrôle d'accès IAM et que vous souhaitez appliquer des politiques d'autorisation ou mettre à jour vos politiques d'autorisation, consultez Contrôle d'accès IAM. Pour plus d'informations sur Apache Kafka ACLs, consultezApache Kafka ACLs.
Une fois que vous vous êtes assuré qu'un cluster MSK répond aux conditions répertoriées ci-dessus, vous pouvez utiliser l' AWS Management Console API Amazon MSK ou l'API Amazon MSK pour activer l'accès public. AWS CLI Après avoir activé l'accès public à un cluster, vous pouvez obtenir une chaîne bootstrap-brokers publique pour celui-ci. Pour de plus amples informations sur l'obtention des agents d'amorçage pour un cluster, consultez Obtenez les courtiers bootstrap pour un cluster Amazon MSK.
Important
Outre l'activation de l'accès public, assurez-vous que les groupes de sécurité du cluster disposent de règles TCP entrantes qui autorisent l'accès public à partir de votre adresse IP. Nous vous recommandons de rendre ces règles aussi restrictives que possible. Pour plus d'informations sur les groupes de sécurité et les règles entrantes, consultez Groupes de sécurité pour votre VPC dans le Guide de l'utilisateur Amazon VPC. Pour les numéros de port, consultez Informations sur le port. Pour obtenir des instructions sur la manière de modifier le groupe de sécurité d'un cluster, consultez Modification du groupe de sécurité d'un cluster Amazon MSK.
Note
Si vous utilisez les instructions suivantes pour activer l'accès public et que vous ne parvenez toujours pas à accéder au cluster, consultez Impossible d'accéder au cluster dont l'accès public est activé.
Activation de l'accès public à l'aide de la console
Connectez-vous à la AWS Management Console console Amazon MSK et ouvrez-la https://console.aws.amazon.com/msk/chez vous ? region=us-east-1#/home/
. Dans la liste des clusters, choisissez le cluster pour lequel vous souhaitez activer l'accès public.
-
Choisissez l'onglet Propriétés, puis recherchez la section Paramètres réseau.
-
Choisissez Modifier l'accès public.
Activation de l'accès public à l'aide du AWS CLI
Exécutez la AWS CLI commande suivante en
Current-Cluster-VersionremplaçantClusterArnet par l'ARN et la version actuelle du cluster. Pour trouver la version actuelle du cluster, utilisez l'DescribeClusteropération ou la commande describe-clusterAWS CLI . Voici un exemple de version : KTVPDKIKX0DER.aws kafka update-connectivity --cluster-arnClusterArn--current-versionCurrent-Cluster-Version--connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'La sortie de cette commande
update-connectivityressemble à l'exemple JSON suivant.{ "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" }Note
Pour désactiver l'accès public, utilisez une AWS CLI commande similaire, mais avec les informations de connectivité suivantes à la place :
'{"PublicAccess": {"Type": "DISABLED"}}'-
Pour obtenir le résultat de l'
update-connectivityopération, exécutez la commande suivante en laClusterOperationArnremplaçant par l'ARN que vous avez obtenu dans le résultat de laupdate-connectivitycommande.aws kafka describe-cluster-operation --cluster-operation-arnClusterOperationArnLa sortie de cette commande
describe-cluster-operationressemble à l'exemple JSON suivant.{ "ClusterOperationInfo": { "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2019-06-20T21:08:57.735Z", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "UPDATE_COMPLETE", "OperationType": "UPDATE_CONNECTIVITY", "SourceClusterInfo": { "ConnectivityInfo": { "PublicAccess": { "Type": "DISABLED" } } }, "TargetClusterInfo": { "ConnectivityInfo": { "PublicAccess": { "Type": "SERVICE_PROVIDED_EIPS" } } } } }Si
OperationStatea la valeurUPDATE_IN_PROGRESS, attendez un moment, puis exécutez à nouveau la commandedescribe-cluster-operation.
Activation de l'accès public à l'aide de l'API Amazon MSK
Pour utiliser l'API afin d'activer ou de désactiver l'accès public à un cluster, consultez UpdateConnectivity.
Note
Pour des raisons de sécurité, Amazon MSK n'autorise pas l'accès public aux nœuds Apache ZooKeeper ou aux nœuds de KRaft contrôleur.
