Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Siapkan prasyarat untuk MSK Replicator dengan cluster Apache Kafka yang dikelola sendiri
Buat peran eksekusi IAM
Buat peran IAM dengan kebijakan kepercayaan untukkafka.amazonaws.com. Lampirkan kebijakan AWSMSKReplicatorExecutionRole terkelola. Kebijakan terkelola memberikan izin Kafka tingkat klaster, topik, dan grup konsumen yang dibutuhkan Replicator, tetapi tidak termasuk AWS Secrets Manager atau AWS KMS izin, yang diperlukan untuk autentikasi dan kredensyal. SASL/SCRAM CMK-encrypted Untuk menambahkan cuplikan kebijakan sebaris, lihat. Izin SER tambahan untuk SASL/SCRAM, mTL, dan kunci yang dikelola pelanggan
Contoh kebijakan kepercayaan:
{ "Statement": [{ "Effect": "Allow", "Principal": {"Service": "kafka.amazonaws.com"}, "Action": "sts:AssumeRole" }] }
Konfigurasikan SASL/SCRAM izin pengguna dan ACL
Buat pengguna SCRAM khusus di cluster Kafka yang dikelola sendiri. Izin ACL berikut diperlukan:
Baca, Jelaskan tentang semua topik
Baca, Jelaskan pada semua kelompok konsumen
Jelaskan pada sumber daya cluster
Contoh perintah kafka-acls.sh:
# Grant Read and Describe on all topics kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --topic '*' # Grant Read and Describe on all consumer groups kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --group '*' # Grant Describe on cluster kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Describe --cluster
Konfigurasikan mTL pada cluster yang dikelola sendiri
Konfigurasikan pendengar SSL pada broker Kafka yang dikelola sendiri dengan. ssl.client.auth=required Truststore broker harus berisi sertifikat CA yang menandatangani sertifikat klien yang akan Anda gunakan untuk MSK Replicator.
Berikan izin ACL kepada prinsipal Kafka yang berasal dari Distinguished Name (DN) sertifikat klien. Izin yang diperlukan adalah: Baca dan Jelaskan tentang semua topik, Baca dan Jelaskan pada semua grup konsumen, dan Jelaskan pada sumber daya klaster.
Konfigurasikan SSL pada cluster yang dikelola sendiri
Konfigurasikan pendengar SSL di broker Anda. Untuk sertifikat yang dipercaya publik, tidak diperlukan konfigurasi tambahan. Untuk sertifikat pribadi atau yang ditandatangani sendiri, sertakan rantai sertifikat CA lengkap dalam rahasia yang disimpan di AWS Secrets Manager.
Simpan kredensyal di AWS Secrets Manager
Buat rahasia tipe Other (not RDS/Redshift) di AWS Secrets Manager dengan pasangan nilai kunci yang sesuai untuk jenis otentikasi Anda.
Untuk SASL/SCRAM:
username— Nama pengguna SCRAM untuk cluster yang dikelola sendiripassword— Kata sandi SCRAM untuk cluster yang dikelola sendiricertificate— Rantai sertifikat CA (format PEM; diperlukan untuk sertifikat private/self yang ditandatangani)
Untuk mTL:
certificate— rantai sertifikat PEM-encoded klienprivateKey— kunci PEM-encoded pribadiprivateKeyPassword— (Opsional) Frasa sandi untuk kunci pribadi, hanya diperlukan untuk kunci PKCS8 terenkripsi
Konfigurasikan konektivitas jaringan
MSK Replicator memerlukan konektivitas jaringan ke cluster Kafka yang dikelola sendiri. Opsi yang didukung:
AWS Site-to-Site VPN — Hubungkan jaringan lokal ke VPC Anda melalui internet.
AWS Direct Connect — Buat koneksi jaringan pribadi khusus dari tempat Anda ke AWS.
Konfigurasikan grup keamanan
Pastikan grup keamanan mengizinkan lalu lintas antara MSK Replicator dan kluster yang dikelola sendiri pada port yang digunakan oleh pendengar otentikasi Anda. Perbarui aturan masuk pada grup keamanan VPC dan aturan keluar pada firewall cluster yang dikelola sendiri.