翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セルフマネージド Apache Kafka クラスターで MSK レプリケーターの前提条件を設定する
IAM 実行ロールを作成する
の信頼ポリシーを使用して IAM ロールを作成しますkafka.amazonaws.com。AWSMSKReplicatorExecutionRole 管理ポリシーをアタッチします。マネージドポリシーは、レプリケーターが必要とするクラスターレベル、トピックconsumer-group-level Kafka アクセス許可を付与しますが、SASL/SCRAM 認証と CMK で暗号化された認証情報に必要な AWS Secrets Manager または アクセス AWS KMS 許可は含まれません。追加するインラインポリシースニペットについては、「」を参照してくださいSASL/SCRAM、mTLS、カスタマーマネージドキーに対する追加の SER アクセス許可。
信頼ポリシーの例:
{ "Statement": [{ "Effect": "Allow", "Principal": {"Service": "kafka.amazonaws.com"}, "Action": "sts:AssumeRole" }] }
SASL/SCRAM ユーザーと ACL アクセス許可を設定する
セルフマネージド Kafka クラスターに専用の SCRAM ユーザーを作成します。次の ACL アクセス許可が必要です。
すべてのトピックを読み、記述する
すべてのコンシューマーグループで読み、記述する
クラスターリソースで記述する
kafka-acls.sh コマンドの例:
# Grant Read and Describe on all topics kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --topic '*' # Grant Read and Describe on all consumer groups kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --group '*' # Grant Describe on cluster kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Describe --cluster
セルフマネージドクラスターで mTLS を設定する
でセルフマネージド Kafka ブローカーに SSL リスナーを設定しますssl.client.auth=required。ブローカーのトラストストアには、MSK レプリケーターに使用するクライアント証明書に署名した CA 証明書が含まれている必要があります。
クライアント証明書の識別名 (DN) から派生した Kafka プリンシパルに ACL アクセス許可を付与します。必要なアクセス許可は、すべてのトピックで読み取りと記述、すべてのコンシューマーグループで読み取りと記述、クラスターリソースで記述です。
セルフマネージドクラスターで SSL を設定する
ブローカーで SSL リスナーを設定します。パブリックに信頼された証明書の場合、追加の設定は必要ありません。プライベート証明書または自己署名証明書の場合は、 AWS Secrets Manager に保存されているシークレットに CA 証明書チェーン全体を含めます。
AWS Secrets Manager に認証情報を保存する
認証タイプに適したキーと値のペアを使用して、Secrets Manager で Other (RDS/Redshift ではない) タイプの AWS シークレットを作成します。
SASL/SCRAM の場合:
username— セルフマネージドクラスターの SCRAM ユーザー名password— セルフマネージドクラスターの SCRAM パスワードcertificate— CA 証明書チェーン (PEM 形式。プライベート/自己署名証明書に必要)
mTLS の場合:
certificate— PEM エンコードされたクライアント証明書チェーンprivateKey— PEM エンコードされたプライベートキーprivateKeyPassword— (オプション) 暗号化された PKCS8 キーにのみ必要なプライベートキーのパスフレーズ
ネットワーク接続の設定
MSK レプリケーターには、セルフマネージド Kafka クラスターへのネットワーク接続が必要です。サポートされているオプション:
AWS Site-to-Site VPN — インターネット経由でオンプレミスネットワークを VPC に接続します。
AWS Direct Connect — オンプレミスから への専用プライベートネットワーク接続を確立します AWS。
セキュリティグループの設定
セキュリティグループが、認証リスナーが使用するポートで MSK レプリケーターとセルフマネージドクラスター間のトラフィックを許可していることを確認します。VPC セキュリティグループのインバウンドルールと、セルフマネージド型クラスターファイアウォールのアウトバウンドルールの両方を更新します。