View a markdown version of this page

Siapkan prasyarat untuk MSK Replicator dengan cluster Apache Kafka yang dikelola sendiri - Amazon Managed Streaming untuk Apache Kafka

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan prasyarat untuk MSK Replicator dengan cluster Apache Kafka yang dikelola sendiri

Buat peran eksekusi IAM

Buat peran IAM dengan kebijakan kepercayaan untukkafka.amazonaws.com. Lampirkan kebijakan AWSMSKReplicatorExecutionRole terkelola. Kebijakan terkelola memberikan izin Kafka tingkat klaster, topik, dan grup konsumen yang dibutuhkan Replicator, tetapi tidak termasuk AWS Secrets Manager atau AWS KMS izin, yang diperlukan untuk autentikasi dan kredensyal. SASL/SCRAM CMK-encrypted Untuk menambahkan cuplikan kebijakan sebaris, lihat. Izin SER tambahan untuk SASL/SCRAM, mTL, dan kunci yang dikelola pelanggan

Contoh kebijakan kepercayaan:

{ "Statement": [{ "Effect": "Allow", "Principal": {"Service": "kafka.amazonaws.com"}, "Action": "sts:AssumeRole" }] }

Konfigurasikan SASL/SCRAM izin pengguna dan ACL

Buat pengguna SCRAM khusus di cluster Kafka yang dikelola sendiri. Izin ACL berikut diperlukan:

  1. Baca, Jelaskan tentang semua topik

  2. Baca, Jelaskan pada semua kelompok konsumen

  3. Jelaskan pada sumber daya cluster

Contoh perintah kafka-acls.sh:

# Grant Read and Describe on all topics kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --topic '*' # Grant Read and Describe on all consumer groups kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --group '*' # Grant Describe on cluster kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Describe --cluster

Konfigurasikan mTL pada cluster yang dikelola sendiri

Konfigurasikan pendengar SSL pada broker Kafka yang dikelola sendiri dengan. ssl.client.auth=required Truststore broker harus berisi sertifikat CA yang menandatangani sertifikat klien yang akan Anda gunakan untuk MSK Replicator.

Berikan izin ACL kepada prinsipal Kafka yang berasal dari Distinguished Name (DN) sertifikat klien. Izin yang diperlukan adalah: Baca dan Jelaskan tentang semua topik, Baca dan Jelaskan pada semua grup konsumen, dan Jelaskan pada sumber daya klaster.

Konfigurasikan SSL pada cluster yang dikelola sendiri

Konfigurasikan pendengar SSL di broker Anda. Untuk sertifikat yang dipercaya publik, tidak diperlukan konfigurasi tambahan. Untuk sertifikat pribadi atau yang ditandatangani sendiri, sertakan rantai sertifikat CA lengkap dalam rahasia yang disimpan di AWS Secrets Manager.

Simpan kredensyal di AWS Secrets Manager

Buat rahasia tipe Other (not RDS/Redshift) di AWS Secrets Manager dengan pasangan nilai kunci yang sesuai untuk jenis otentikasi Anda.

Untuk SASL/SCRAM:

  1. username— Nama pengguna SCRAM untuk cluster yang dikelola sendiri

  2. password— Kata sandi SCRAM untuk cluster yang dikelola sendiri

  3. certificate— Rantai sertifikat CA (format PEM; diperlukan untuk sertifikat private/self yang ditandatangani)

Untuk mTL:

  1. certificate— rantai sertifikat PEM-encoded klien

  2. privateKey— kunci PEM-encoded pribadi

  3. privateKeyPassword— (Opsional) Frasa sandi untuk kunci pribadi, hanya diperlukan untuk kunci PKCS8 terenkripsi

Konfigurasikan konektivitas jaringan

MSK Replicator memerlukan konektivitas jaringan ke cluster Kafka yang dikelola sendiri. Opsi yang didukung:

  • AWS Site-to-Site VPN — Hubungkan jaringan lokal ke VPC Anda melalui internet.

  • AWS Direct Connect — Buat koneksi jaringan pribadi khusus dari tempat Anda ke AWS.

Konfigurasikan grup keamanan

Pastikan grup keamanan mengizinkan lalu lintas antara MSK Replicator dan kluster yang dikelola sendiri pada port yang digunakan oleh pendengar otentikasi Anda. Perbarui aturan masuk pada grup keamanan VPC dan aturan keluar pada firewall cluster yang dikelola sendiri.