As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conectar-se a um cluster do Amazon MSK Provisioned
Por padrão, os clientes só podem acessar um cluster do MSK Provisioned se estiverem na mesma VPC do cluster. Toda comunicação entre seus clientes Kafka e seu cluster do MSK Provisioned é privada por padrão, e seus dados de streaming nunca cruzam a Internet. Para estabelecer conexão com seu cluster do MSK Provisioned usando um cliente que esteja na mesma VPC do cluster, certifique-se de que o grupo de segurança do cluster tenha uma regra de entrada que aceite o tráfego do grupo de segurança do cliente. Para obter informações sobre como configurar essas regras, consulte [Regras do grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules). Para obter um exemplo de como acessar um cluster de uma instância do Amazon EC2 que esteja na mesma VPC do cluster, consulte [Conceitos básicos sobre como usar o Amazon MSK](getting-started.md).
**nota**
KRaft o modo de metadados e os corretores MSK Express não podem ter o monitoramento aberto e o acesso público habilitados.
Para se conectar ao seu cluster provisionado pelo MSK a partir de um cliente que está fora da VPC do cluster, consulte [Acesso de dentro, mas de AWS fora da VPC do](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access.html) cluster.
**Topics**
+ [Ativar o acesso público a um cluster do MSK Provisioned](public-access.md)
+ [Acesso de dentro AWS , mas de fora da VPC do cluster](aws-access.md)
# Ativar o acesso público a um cluster do MSK Provisioned
O Amazon MSK oferece a opção de ativar o acesso público aos agentes dos clusters do MSK Provisioned que executem o Apache Kafka 2.6.0 ou versões posteriores. Por motivos de segurança, você não pode ativar o acesso público ao criar um cluster do MSK. No entanto, você pode atualizar um cluster existente para torná-lo acessível ao público. Você pode criar um novo cluster e atualizá-lo para torná-lo acessível publicamente.
Você pode ativar o acesso público a um cluster MSK sem custo adicional, mas os custos padrão de transferência de AWS dados se aplicam à transferência de dados para dentro e para fora do cluster. Para obter informações sobre os preços, consulte [Preço do Amazon EC2 sob demanda](https://aws.amazon.com/ec2/pricing/on-demand/).
Os clusters provisionados do Amazon MSK com tipo de rede de pilha dupla oferecem suporte a ambos IPv4 e conectividade para acesso público. IPv6 Quando o acesso público é habilitado em seu cluster, as mesmas strings de IPv6 bootstrap funcionarão automaticamente para conectividade de acesso padrão e público. Suas strings de IPv4 bootstrap existentes continuarão funcionando para IPv4 conectividade. Observe que, se o acesso público não estiver habilitado em seu cluster, as strings de IPv6 bootstrap não terão capacidade de acesso público. Para obter mais informações, consulte Configurar o tipo de rede de pilha dupla para um cluster Amazon MSK.
**nota**
Se você estiver usando os métodos de controle de acesso SASL/SCRAM ou mTLS, você deve primeiro configurar o Apache Kafka para seu cluster. ACLs Em seguida, atualize a configuração do cluster para que a propriedade `allow.everyone.if.no.acl.found` seja definida como falsa. Para obter informações sobre como atualizar a configuração de um cluster, consulte [Operações de configuração do agente](msk-configuration-operations.md).
Para ativar o acesso público a um cluster do MSK Provisioned, primeiro certifique-se de que o cluster atenda a todas as seguintes condições:
+ As sub-redes associadas ao cluster devem ser públicas. Cada sub-rede pública tem um IPv4 endereço público associado a ela, e os preços dos IPv4 endereços públicos são mostrados na página de preços da Amazon [VPC](https://aws.amazon.com/vpc/pricing/). Isso significa que as sub-redes devem ter uma tabela de rotas associada a um gateway da Internet conectado. Para obter mais informações sobre como criar e anexar um gateway da Internet, consulte [Habilitar o acesso da VPC à Internet usando gateways da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) no *Guia do usuário da Amazon VPC*.
+ O controle de acesso não autenticado deve estar desativado e pelo menos um dos seguintes métodos de controle de acesso deve estar ativado:, mTLS. SASL/IAM, SASL/SCRAM Para obter informações sobre como atualizar o método de controle de acesso de um cluster, consulte [Atualizar as configurações de segurança de um cluster do Amazon MSK](msk-update-security.md).
+ A criptografia dentro do cluster deve estar ativada. A configuração ativada é o padrão ao criar um cluster. Não é possível ativar a criptografia dentro do cluster para um cluster que tenha sido criado com ela desativada. Portanto, não é possível ativar o acesso público para um cluster que tenha sido criado com a criptografia no cluster desativada.
+ O tráfego de texto simples entre agentes e clientes deve estar desativado. Para obter informações sobre como desativá-lo se estiver ativado, consulte [Atualizar as configurações de segurança de um cluster do Amazon MSK](msk-update-security.md).
+ Se você estiver usando o controle de acesso do IAM e quiser aplicar políticas de autorização ou atualizar suas políticas de autorização, consulte [Controle de acesso do IAM](iam-access-control.md). Para obter informações sobre o Apache Kafka ACLs, consulte. [Apache Kafka ACLs](msk-acls.md)
Depois de garantir que um cluster MSK atenda às condições listadas acima, você pode usar a API Console de gerenciamento da AWS AWS CLI, a ou a Amazon MSK para ativar o acesso público. Depois de ativar o acesso público a um cluster, você pode obter uma string pública de agentes de bootstrap para ele. Para obter informações sobre a obtenção de agentes de bootstrap para um cluster, consulte [Obter os agentes de bootstrap para um cluster do Amazon MSK](msk-get-bootstrap-brokers.md).
**Importante**
Além de ativar o acesso público, certifique-se de que os grupos de segurança do cluster tenham regras de TCP de entrada que permitam acesso público do seu endereço IP. Recomendamos tornar essas regras o mais restritivas possível. Para obter mais informações sobre grupos de segurança e regras de entrada, consulte [Grupos de segurança para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) no Guia do usuário da Amazon VPC. Para obter os números das portas, consulte [Informações de porta](port-info.md). Para obter instruções sobre como alterar o grupo de segurança de um cluster, consulte [Alterar o grupo de segurança do cluster no Amazon MSK](change-security-group.md).
**nota**
Se você usar as instruções a seguir para ativar o acesso público e ainda não conseguir acessar o cluster, consulte [Não é possível acessar o cluster que está com o acesso público ativado](troubleshooting.md#public-access-issues).
**Ativar o acesso público usando o console**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon MSK em [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).
1. Na lista de clusters, selecione o cluster ao qual deseja ativar o acesso público.
1. Escolha a guia **Propriedades** e, em seguida, encontre a seção **Configurações de rede**.
1. Escolha **Editar acesso público**.
**Ativando o acesso público usando o AWS CLI**
1. Execute o AWS CLI comando a seguir, substituindo *ClusterArn* e *Current-Cluster-Version* pelo ARN e pela versão atual do cluster. Para encontrar a versão atual do cluster, use a [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)operação ou o comando [AWS CLI describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). Uma versão de exemplo é `KTVPDKIKX0DER`.
```
aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'
```
A saída desse comando `update-connectivity` é semelhante ao seguinte JSON de exemplo.
```
{
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
```
**nota**
Para desativar o acesso público, use um AWS CLI comando semelhante, mas com as seguintes informações de conectividade:
```
'{"PublicAccess": {"Type": "DISABLED"}}'
```
1. Para obter o resultado da `update-connectivity` operação, execute o comando a seguir, *ClusterOperationArn* substituindo-o pelo ARN obtido na saída do `update-connectivity` comando.
```
aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn
```
A saída desse comando `describe-cluster-operation` é semelhante ao seguinte JSON de exemplo.
```
{
"ClusterOperationInfo": {
"ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"CreationTime": "2019-06-20T21:08:57.735Z",
"OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
"OperationState": "UPDATE_COMPLETE",
"OperationType": "UPDATE_CONNECTIVITY",
"SourceClusterInfo": {
"ConnectivityInfo": {
"PublicAccess": {
"Type": "DISABLED"
}
}
},
"TargetClusterInfo": {
"ConnectivityInfo": {
"PublicAccess": {
"Type": "SERVICE_PROVIDED_EIPS"
}
}
}
}
}
```
Se `OperationState` tiver o valor `UPDATE_IN_PROGRESS`, aguarde um pouco e execute o comando `describe-cluster-operation` novamente.
**Ativar o acesso público usando a API do Amazon MSK**
+ Para usar a API para ativar ou desativar o acesso público a um cluster, consulte [UpdateConnectivity](https://docs.aws.amazon.com//msk/1.0/apireference/clusters-clusterarn-connectivity.html#UpdateConnectivity).
**nota**
Por motivos de segurança, o Amazon MSK não permite acesso público aos nós do Apache ZooKeeper ou do KRaft controlador.
# Acesso de dentro AWS , mas de fora da VPC do cluster
Para se conectar a um cluster MSK de dentro AWS , mas de fora da Amazon VPC do cluster, existem as seguintes opções.
## Emparelhamento do Amazon VPC
Para se conectar ao seu cluster MSK a partir de uma VPC diferente da VPC do cluster, você pode criar uma conexão de emparelhamento entre as duas. VPCs Para obter informações sobre o emparelhamento da VPC, consulte [Guia de emparelhamento do Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).
## Direct Connect
Direct Connect conecta sua rede local a AWS mais de um cabo de fibra óptica Ethernet padrão de 1 gigabit ou 10 gigabit. Uma extremidade do cabo está conectada ao roteador e a outra ao Direct Connect roteador. Com essa conexão estabelecida, você pode criar interfaces virtuais diretamente na AWS nuvem e na Amazon VPC, ignorando os provedores de serviços de Internet em seu caminho de rede. Para obter mais informações, consulte [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
## AWS Transit Gateway
AWS Transit Gateway é um serviço que permite conectar sua rede VPCs e sua rede local a um único gateway. Para obter informações sobre como usar o AWS Transit Gateway, consulte [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html).
## Conexões da VPN
É possível conectar a VPC do cluster do MSK a redes remotas e usuários que usam as opções de conectividade por VPN descritas no seguinte tópico: [Conexões por VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html).
## Proxies REST
É possível instalar um proxy REST em uma instância sendo executada na Amazon VPC do cluster. Os proxies REST permitem que os produtores e os consumidores se comuniquem com o cluster por meio de solicitações da API do HTTP.
## Conectividade multi-VPC em múltiplas regiões
O documento a seguir descreve as opções de conectividade para várias VPCs que residem em regiões diferentes: Conectividade [multi-VPC de várias regiões](https://aws.amazon.com/answers/networking/aws-multiple-region-multi-vpc-connectivity/).
## Conectividade privada multi-VPC de região única
A conectividade privada de várias VPCs (desenvolvida por [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) para clusters Amazon Managed Streaming for Apache Kafka (Amazon MSK) é um recurso que permite conectar mais rapidamente clientes Kafka hospedados em diferentes VPCs nuvens privadas virtuais () e contas a um cluster Amazon MSK. AWS
Consulte [Conectividade multi-VPC de região única para clientes entre contas](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access-mult-vpc.html).
## O EC2-Classic Networking está desativado
O Amazon MSK não é mais compatível com as instâncias do Amazon EC2 em execução no Amazon EC2-Classic Networking.
Consulte[EC2-Classic Networking is Retiring - Here's How to Prepare](https://aws.amazon.com/blogs/aws/ec2-classic-is-retiring-heres-how-to-prepare/).
# Conectividade privada multi-VPC do Amazon MSK em uma única região
A conectividade privada de várias VPCs (desenvolvida por [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) para clusters Amazon Managed Streaming for Apache Kafka (Amazon MSK) é um recurso que permite conectar mais rapidamente clientes Kafka hospedados em diferentes VPCs nuvens privadas virtuais () e contas a um cluster Amazon MSK. AWS
A conectividade privada multi-VPC é uma solução gerenciada que simplifica a infraestrutura de rede para conectividade multi-VPCs e entre contas. Os clientes podem se conectar ao cluster Amazon MSK PrivateLink sem deixar de manter todo o tráfego na AWS rede. A conectividade privada de várias VPCs para clusters do Amazon MSK está disponível em todas as regiões em AWS que o Amazon MSK está disponível.
**Topics**
+ [O que é conectividade privada multi-VPC?](#mvpc-what-is)
+ [Benefícios da conectividade privada multi-VPC](#mvpc-benefits)
+ [Requisitos e limitações para conectividade privada multi-VPC](#mvpc-requirements)
+ [Conceitos básicos sobre como usar a conectividade privada de várias VPCs](mvpc-getting-started.md)
+ [Atualizar os esquemas de autorização em um cluster](mvpc-cross-account-update-authschemes.md)
+ [Rejeitar uma conexão VPC gerenciada com um cluster do Amazon MSK](mvpc-cross-account-reject-connection.md)
+ [Excluir uma conexão VPC gerenciada com um cluster do Amazon MSK](mvpc-cross-account-delete-connection.md)
+ [Permissões para conectividade privada multi-VPC](mvpc-cross-account-permissions.md)
## O que é conectividade privada multi-VPC?
A conectividade privada de várias VPCs para o Amazon MSK é uma opção de conectividade que permite conectar clientes Apache Kafka hospedados em diferentes nuvens privadas virtuais (VPCs) e AWS contas a um cluster MSK.
O Amazon MSK simplifica o acesso entre contas com [políticas de cluster](mvpc-cluster-owner-action-policy.md). Essas políticas permitem que o proprietário do cluster conceda permissões para que outras AWS contas estabeleçam conectividade privada com o cluster MSK.
## Benefícios da conectividade privada multi-VPC
A conectividade privada multi-VPC tem várias vantagens em relação a [outras soluções de conectividade](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access.html):
+ Ele automatiza o gerenciamento operacional da solução de AWS PrivateLink conectividade.
+ Ele permite a sobreposição IPs entre conexões VPCs, eliminando a necessidade de manter tabelas de emparelhamento e roteamento complexas e não sobrepostas IPs associadas a outras soluções de conectividade de VPC.
Você usa uma política de cluster para seu cluster MSK para definir quais AWS contas têm permissões para configurar a conectividade privada entre contas com seu cluster MSK. O administrador de várias contas pode delegar permissões aos perfis ou usuários adequados. Quando usada com a autenticação de cliente do IAM, você também pode usar a política de cluster para definir as permissões do plano de dados do Kafka de modo granular para os clientes conectados.
## Requisitos e limitações para conectividade privada multi-VPC
Observe estes requisitos de cluster do MSK para executar a conectividade privada multi-VPC:
+ A conectividade privada multi-VPC é compatível apenas com o Apache Kafka 2.7.1 ou superior. Certifique-se de que todos os clientes que você use com o cluster do MSK estejam executando versões do Apache Kafka compatíveis com o cluster.
+ A conectividade privada multi-VPC é compatível com os tipos de autenticação IAM, TLS e SASL/SCRAM. Clusters não autenticados não podem usar conectividade privada multi-VPC.
+ Se você estiver usando os métodos de controle de acesso SASL/SCRAM ou mTLS, deverá configurar o Apache ACLs Kafka para seu cluster. Primeiro, defina o Apache Kafka ACLs para seu cluster. Em seguida, atualize a configuração do cluster para que a propriedade `allow.everyone.if.no.acl.found` seja definida como falsa para o cluster. Para obter informações sobre como atualizar a configuração de um cluster, consulte [Operações de configuração do agente](msk-configuration-operations.md). Se você estiver usando o controle de acesso do IAM e quiser aplicar políticas de autorização ou atualizar suas políticas de autorização, consulte [Controle de acesso do IAM](iam-access-control.md). Para obter informações sobre o Apache Kafka ACLs, consulte. [Apache Kafka ACLs](msk-acls.md)
+ A conectividade privada multi-VPC não é compatível com o tipo de instância t3.small.
+ A conectividade privada de várias VPCs não é suportada em todas AWS as regiões, somente em AWS contas dentro da mesma região.
+ Para configurar a conectividade privada de várias VPCs, é necessário ter o mesmo número de sub-redes de cliente que as sub-redes do cluster. Você também deve garantir que as [zonas de disponibilidade IDs](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) sejam as mesmas para a sub-rede do cliente e a sub-rede do cluster.
+ O Amazon MSK não é compatível com conectividade privada multi-VPC com os nós do Zookeeper.
# Conceitos básicos sobre como usar a conectividade privada de várias VPCs
**Topics**
+ [Etapa 1: no cluster do MSK na conta A, ativar a conectividade multi-VPC para o esquema de autenticação do IAM no cluster](mvpc-cluster-owner-action-turn-on.md)
+ [Etapa 2: anexar uma política de cluster ao cluster do MSK](mvpc-cluster-owner-action-policy.md)
+ [Etapa 3: ações de usuários entre contas para configurar conexões de VPC gerenciadas pelo cliente](mvpc-cross-account-user-action.md)
Este tutorial usa um caso de uso comum como exemplo de como você pode usar a conectividade de várias VPCs para conectar de forma privada um cliente Apache Kafka a um cluster MSK de dentro, AWS mas fora da VPC do cluster. Esse processo exige que o usuário entre contas crie uma conexão e uma configuração de VPC gerenciada pelo MSK para cada cliente, incluindo as permissões de cliente necessárias. O processo também exige que o proprietário do cluster MSK habilite a PrivateLink conectividade no cluster MSK e selecione esquemas de autenticação para controlar o acesso ao cluster.
Em diferentes partes deste tutorial, escolhemos as opções aplicáveis a esse exemplo. Isso não significa que estas são as únicas opções disponíveis para configurar um cluster do MSK ou instâncias de cliente.
A configuração de rede para esse caso de uso é a seguinte:
+ Um usuário com várias contas (cliente Kafka) e um cluster do MSK estão na mesma rede/região da AWS , mas em contas diferentes:
+ Cluster do MSK na conta A
+ Cliente Kafka na conta B
+ O usuário entre contas se conectará de modo privado ao cluster do MSK usando o esquema de autenticação do IAM.
Este tutorial pressupõe que há um cluster do MSK provisionado criado com o Apache Kafka versão 2.7.1 ou superior. O cluster do MSK deve estar em um estado ACTIVE antes de iniciar o processo de configuração. Para evitar possíveis perdas de dados ou tempo de inatividade, os clientes que usarão uma conexão privada multi-VPC para se conectar ao cluster devem usar versões do Apache Kafka compatíveis com o cluster.
O diagrama a seguir ilustra a arquitetura da conectividade multi-VPC do Amazon MSK conectada a um cliente em uma conta diferente. AWS
![\[Diagrama de rede multi-VPC em uma única região\]](http://docs.aws.amazon.com/pt_br/msk/latest/developerguide/images/mvpc-network.png)
# Etapa 1: no cluster do MSK na conta A, ativar a conectividade multi-VPC para o esquema de autenticação do IAM no cluster
O proprietário do cluster do MSK precisa fazer as configurações no cluster do MSK após a criação do cluster e em um estado ACTIVE.
O proprietário do cluster ativa a conectividade privada multi-VPC no cluster ACTIVE para qualquer esquema de autenticação que estará ativo no cluster. Isso pode ser feito usando a [UpdateSecurity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html) ou o console MSK. Os esquemas de autenticação do IAM, SASL/SCRAM e TLS são compatíveis com conectividade privada multi-VPC. A conectividade privada multi-VPC não pode ser habilitada para clusters não autenticados.
Para esse caso de uso, você configurará o cluster para usar o esquema de autenticação do IAM.
**nota**
Se você estiver configurando seu cluster MSK para usar o esquema de SASL/SCRAM autenticação, a propriedade "" do Apache Kafka ACLs é obrigatória. `allow.everyone.if.no.acl.found=false` Veja [Apache ACLs Kafka](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html).
Quando você atualiza as configurações de conectividade privada multi-VPC, o Amazon MSK inicia uma reinicialização contínua dos nós do agente que atualiza as configurações do agente. A conclusão dessa operação pode levar até 30 minutos ou mais. Você não pode fazer outras atualizações no cluster enquanto a conectividade estiver sendo atualizada.
**Ativar o recurso multi-VPC para esquemas de autenticação selecionados no cluster na conta A usando o console**
1. Abra o console do Amazon MSK em [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)para a conta em que o cluster está localizado.
1. No painel de navegação, em **Clusters do MSK**, escolha **Clusters** para exibir a lista de clusters na conta.
1. Selecione o cluster a ser configurado para conectividade privada multi-VPC. O cluster deve estar em um estado ACTIVE.
1. Selecione a guia **Propriedades** do cluster e acesse as configurações de **Rede**.
1. Selecione o menu suspenso **Editar** e selecione **Ativar conectividade multi-VPC**.
1. Selecione um ou mais tipos de autenticação que você deseja ativar para esse cluster. Para esse caso de uso, selecione a autenticação **baseada em perfil do IAM**.
1. Selecione **Salvar alterações**.
**Example - UpdateConnectivity API que ativa esquemas de autenticação de conectividade privada de várias VPCs em um cluster**
Como alternativa ao console MSK, você pode usar a [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) para ativar a conectividade privada de várias VPCs e configurar esquemas de autenticação em um cluster ATIVO. O exemplo a seguir mostra o esquema de autenticação do IAM ativado para o cluster.
```
{
"currentVersion": "K3T4TT2Z381HKD",
"connectivityInfo": {
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"iam": {
"enabled": TRUE
}
}
}
}
}
}
```
O Amazon MSK cria a infraestrutura de rede necessária para conectividade privada. O Amazon MSK também cria um novo conjunto de endpoints do agente de bootstrap para cada tipo de autenticação que requer conectividade privada. Observe que o esquema de autenticação em texto simples não oferece suporte à conectividade privada multi-VPC.
# Etapa 2: anexar uma política de cluster ao cluster do MSK
O proprietário do cluster pode anexar uma política de cluster (também conhecida como [política baseada em recurso](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies)) ao cluster do MSK no qual você ativará a conectividade privada multi-VPC. A política de cluster permite que os clientes acessem o cluster usando outra conta. Antes de editar a política de cluster, você precisa dos IDs de conta para as contas que devem ter permissão para acessar o cluster do MSK. Consulte [Como o Amazon MSK funciona com o IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html).
O proprietário do cluster deve anexar uma política de cluster ao cluster do MSK que autorize o usuário entre contas na conta B a obter agentes de bootstrap para o cluster e a autorizar as seguintes ações no cluster do MSK na conta A:
+ CreateVpcConnection
+ GetBootstrapBrokers
+ DescribeCluster
+ DescribeClusterV2
**Example**
Para referência, veja a seguir um exemplo do JSON para uma política básica de cluster, semelhante à política padrão apresentada no editor de políticas do IAM do console do MSK. A política a seguir concede permissões de acesso a nível de cluster, tópico e grupo.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2",
"kafka-cluster:*"
],
"Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
}
]
}
```
**Anexar uma política de cluster ao cluster do MSK**
1. No console do Amazon MSK, em **Clusters do MSK**, escolha **Clusters**.
1. Role para baixo até **Configurações de segurança** e selecione **Editar política de cluster**.
1. No console, na tela **Editar política de cluster**, selecione **Política básica para conectividade multi-VPC**.
1. No campo **ID da conta**, insira o ID da conta para cada conta que deve ter permissão para acessar esse cluster. Conforme você digita o ID, ele é copiado automaticamente para a sintaxe JSON da política exibida. Em nosso exemplo de política de cluster, o ID da conta é *111122223333*.
1. Selecione **Salvar alterações**.
Para obter informações sobre a política de cluster APIs, consulte as políticas baseadas em [recursos do Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies).
# Etapa 3: ações de usuários entre contas para configurar conexões de VPC gerenciadas pelo cliente
Para configurar a conectividade privada multi-VPC entre um cliente em uma conta diferente do cluster do MSK, o usuário entre contas cria uma conexão VPC gerenciada para o cliente. É possível conectar vários clientes ao cluster do MSK repetindo esse procedimento. Para fins desse caso de uso, você configurará apenas um cliente.
Os clientes podem usar os esquemas de autenticação compatíveis IAM, SASL/SCRAM ou TLS. Cada conexão de VPC gerenciada só pode ter um esquema de autenticação associado a ela. O esquema de autenticação do cliente deve ser configurado no cluster do MSK ao qual o cliente se conectará.
Para esse caso de uso, configure o esquema de autenticação do cliente para que o cliente na conta B use o esquema de autenticação do IAM.
**Pré-requisitos**
Esse processo requer os seguintes itens:
+ A política de cluster criada anteriormente que concede ao cliente na conta B permissão para realizar ações no cluster do MSK na conta A.
+ Uma política de identidade anexada ao cliente na conta B que concede permissões para as ações `kafka:CreateVpcConnection`, `ec2:CreateTags`, `ec2:CreateVPCEndpoint` e `ec2:DescribeVpcAttribute`.
**Example**
Para referência, este é um exemplo do JSON para uma política básica de identidade de cliente.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint",
"ec2:DescribeVpcAttribute"
],
"Resource": "*"
}
]
}
```
**Para criar uma conexão de VPC gerenciada para um cliente na conta B**
1. Do administrador do cluster, obtenha o **ARN do cluster** do MSK na conta A ao qual você deseja que o cliente na conta B se conecte. Anote o ARN do cluster para usar posteriormente.
1. No console do MSK da conta B do cliente, escolha **Conexões VPC gerenciadas** e, em seguida, escolha **Criar conexão**.
1. No painel **Configurações de conexão**, cole o ARN do cluster no campo de texto ARN do cluster e escolha **Verificar**.
1. Selecione o **Tipo de autenticação** para o cliente na conta B. Para esse caso de uso, escolha IAM ao criar a conexão VPC do cliente.
1. Escolha a **VPC** para o cliente.
1. Escolha pelo menos duas **zonas** de disponibilidade e **sub-redes** associadas. Você pode obter a zona IDs de disponibilidade nos detalhes do cluster do AWS Management Console ou usando a [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API ou o comando da AWS CLI [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). A zona IDs que você especifica para a sub-rede do cliente deve corresponder às da sub-rede do cluster. Se os valores de uma sub-rede estiverem ausentes, primeiro crie uma sub-rede com o mesmo ID de zona do seu cluster do MSK.
1. Escolha um **Grupo de segurança** para essa conexão VPC. Você pode usar o grupo de segurança padrão. Para mais informações sobre a configuração de grupos de segurança, consulte [Controlar o tráfego para recursos usando grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html).
1. Selecione **Criar conexão**.
1. Para obter a lista das novas strings de agente de bootstrap no console do MSK do usuário entre contas (**Detalhes do cluster** > **Conexão VPC gerenciada**), consulte as strings de agente de bootstrap exibidas em “**Cadeia de conexão do cluster**”. Na Conta B do cliente, a lista de corretores de bootstrap pode ser visualizada chamando a [GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API ou visualizando a lista de corretores de bootstrap nos detalhes do cluster do console.
1. Atualize os grupos de segurança associados às conexões de VPC da seguinte forma:
1. Defina **regras de entrada** para a PrivateLink VPC para permitir todo o tráfego do intervalo de IP da rede da Conta B.
1. [Opcional] Defina as **regras de conectividade de saída** para o cluster do MSK. Escolha o **grupo de segurança** no console da VPC, **Editar regras de saída** e adicione uma regra para o **Tráfego TCP personalizado** para os intervalos de portas 14001-14100. O Network Load Balancer multi-VPC está escutando nos intervalos de portas 14001-14100. Consulte [Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html).
1. Configure o cliente na conta B para usar os novos agentes de bootstrap para conectividade privada multi-VPC para se conectar ao cluster do MSK na conta A. Consulte [Produzir e consumir dados](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html).
Após a conclusão da autorização, o Amazon MSK criará uma conexão VPC gerenciada para cada VPC e esquema de autenticação especificados. O grupo de segurança escolhido será associado a cada conexão. Essa conexão VPC gerenciada é configurada pelo Amazon MSK para se conectar de maneira privada aos agentes. Você pode usar o novo conjunto de agentes de bootstrap para se conectar de maneira privada ao cluster do Amazon MSK.
# Atualizar os esquemas de autorização em um cluster
A conectividade privada de várias VPCs oferece suporte a vários esquemas de autorização: conectividade SASL/SCRAM, IAM, and TLS. The cluster owner can turn on/off privada para um ou mais esquemas de autenticação. O cluster precisa estar no estado ACTIVE para realizar essa ação.
**Para ativar um esquema de autenticação usando o console do Amazon MSK**
1. Abra o console do Amazon MSK em [Console de gerenciamento da AWS](https://console.aws.amazon.com/msk) para o cluster que deseja editar.
1. No painel de navegação, em **Clusters do MSK**, escolha **Clusters** para exibir a lista de clusters na conta.
1. Selecione o cluster que deseja editar. O cluster deve estar em um estado ACTIVE.
1. Selecione a guia **Propriedades** do cluster e acesse **Configurações de rede**.
1. Selecione o menu suspenso **Editar** e selecione **Ativar conectividade multi-VPC** para ativar o novo esquema de autorização.
1. Selecione um ou mais tipos de autenticação que você deseja ativar para esse cluster.
1. Selecione **Ativar seleção**.
Ao ativar um novo esquema de autenticação, você também deverá criar novas conexões VPC gerenciadas para o novo esquema de autenticação e atualizar seus clientes para usar os agentes de bootstrap específicos do novo esquema de autenticação.
**Para desativar um esquema de autenticação usando o console do Amazon MSK**
**nota**
Quando você desativa a conectividade privada multi-VPC para esquemas de autenticação, toda a infraestrutura relacionada à conectividade é excluída, incluindo as conexões VPC gerenciadas.
Quando você desativa a conectividade privada multi-VPC para esquemas de autenticação, as conexões VPC existentes no lado do cliente mudam para INACTIVE, e a infraestrutura do Privatelink no lado do cluster é removida, incluindo as conexões VPC gerenciadas. O usuário de várias contas só pode excluir a conexão VPC inativa. Se a conectividade privada for ativada novamente no cluster, o usuário entre contas precisará criar uma nova conexão com o cluster.
1. Abra o console do Amazon MSK em [Console de gerenciamento da AWS](https://console.aws.amazon.com/msk).
1. No painel de navegação, em **Clusters do MSK**, escolha **Clusters** para exibir a lista de clusters na conta.
1. Selecione o cluster que deseja editar. O cluster deve estar em um estado ACTIVE.
1. Selecione a guia **Propriedades** do cluster e acesse **Configurações de rede**.
1. Selecione o menu suspenso **Editar** e selecione **Desativar conectividade multi-VPC** (para desativar um esquema de autorização).
1. Selecione um ou mais tipos de autenticação que você deseja desativar para esse cluster.
1. Selecione **Desativar seleção**.
**Example Para ativar on/off um esquema de autenticação com a API**
Como alternativa ao console MSK, você pode usar a [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) para ativar a conectividade privada de várias VPCs e configurar esquemas de autenticação em um cluster ATIVO. O exemplo a seguir mostra SASL/SCRAM os esquemas de autenticação do IAM ativados para o cluster.
Ao ativar um novo esquema de autenticação, você também deverá criar novas conexões VPC gerenciadas para o novo esquema de autenticação e atualizar seus clientes para usar os agentes de bootstrap específicos do novo esquema de autenticação.
Quando você desativa a conectividade privada multi-VPC para esquemas de autenticação, as conexões VPC existentes no lado do cliente mudam para INACTIVE, e a infraestrutura do Privatelink no lado do cluster é removida, incluindo as conexões VPC gerenciadas. O usuário de várias contas só pode excluir a conexão VPC inativa. Se a conectividade privada for ativada novamente no cluster, o usuário entre contas precisará criar uma nova conexão com o cluster.
```
Request:
{
"currentVersion": "string",
"connnectivityInfo": {
"publicAccess": {
"type": "string"
},
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"scram": {
"enabled": TRUE
},
"iam": {
"enabled": TRUE
}
},
"tls": {
"enabled": FALSE
}
}
}
}
}
Response:
{
"clusterArn": "string",
"clusterOperationArn": "string"
}
```
# Rejeitar uma conexão VPC gerenciada com um cluster do Amazon MSK
Você pode rejeitar uma conexão VPC do cliente no console do Amazon MSK na conta de administrador do cluster. Para ser rejeitada, a conexão VPC do cliente deve estar no estado AVAILABLE. Talvez você queira rejeitar uma conexão VPC gerenciada de um cliente que não esteja mais autorizado a se conectar ao seu cluster. Para evitar que novas conexões VPC gerenciadas se conectem a um cliente, negue o acesso ao cliente na política de cluster. Uma conexão rejeitada ainda gera custos até ser excluída pelo proprietário da conexão. Consulte [Excluir uma conexão VPC gerenciada com um cluster do Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/mvpc-cross-account-delete-connection.html).
**Para rejeitar uma conexão VPC do cliente usando o console do MSK**
1. Abra o console do Amazon MSK em [Console de gerenciamento da AWS](https://console.aws.amazon.com/msk).
1. No painel de navegação, selecione **Clusters** e localize a lista **Configurações de rede > Conexões VPC do cliente**.
1. Selecione a conexão que deseja rejeitar e selecione **Rejeitar conexão VPC do cliente**.
1. Confirme que deseja rejeitar a conexão VPC do cliente selecionada.
Para rejeitar uma conexão VPC gerenciada usando a API, use a API `RejectClientVpcConnection`.
# Excluir uma conexão VPC gerenciada com um cluster do Amazon MSK
O usuário entre contas pode excluir uma conexão VPC gerenciada para um cluster do MSK no console da conta do cliente. Como o usuário proprietário do cluster não é proprietário da conexão VPC gerenciada, a conexão não pode ser excluída na conta de administrador do cluster. Após a exclusão de uma conexão VPC, ela não terá mais custos.
**Para excluir uma conexão VPC gerenciada usando o console do MSK**
1. Na conta do cliente, abra o console do Amazon MSK em [Console de gerenciamento da AWS](https://console.aws.amazon.com/msk).
1. No painel de navegação, selecione **Conexões VPC gerenciadas**.
1. Na lista de conexões, selecione a conexão que deseja excluir.
1. Confirme que deseja excluir a conexão VPC.
Para excluir uma conexão VPC gerenciada usando a API, use a API `DeleteVpcConnection`.
# Permissões para conectividade privada multi-VPC
Esta seção resume as permissões necessárias para clientes e clusters que usam o recurso de conectividade privada multi-VPC. A conectividade privada multi-VPC exige que o administrador do cliente crie permissões em cada cliente que terá uma conexão VPC gerenciada com o cluster do MSK. Também exige que o administrador do cluster MSK habilite a PrivateLink conectividade no cluster MSK e selecione esquemas de autenticação para controlar o acesso ao cluster.
**Tipo de autenticação de cluster e permissões de acesso a tópicos**
Ative o recurso de conectividade privada multi-VPC para esquemas de autenticação habilitados para seu cluster do MSK. Consulte [Requisitos e limitações para conectividade privada multi-VPC](aws-access-mult-vpc.md#mvpc-requirements). Se você estiver configurando seu cluster MSK para usar o esquema de SASL/SCRAM autenticação, a propriedade Apache ACLs Kafka é obrigatória. `allow.everyone.if.no.acl.found=false` Após definir as [Apache Kafka ACLs](msk-acls.md) para seu cluster, atualize a configuração do cluster para que a propriedade `allow.everyone.if.no.acl.found` seja falsa para o cluster. Para obter informações sobre como atualizar a configuração de um cluster, consulte [Operações de configuração do agente](msk-configuration-operations.md).
**Permissões de política de cluster entre contas**
Se um cliente Kafka estiver em uma AWS conta diferente do cluster MSK, anexe uma política baseada em cluster ao cluster MSK que autorize o usuário raiz do cliente a conectividade entre contas. Você pode editar a política de cluster de várias VPCs usando o editor de políticas do IAM no console MSK (**configurações de segurança do** cluster > **Editar política do cluster**) ou usar o seguinte APIs para gerenciar a política do cluster:
**PutClusterPolicy**
Anexa a política de cluster ao cluster. Você pode usar essa API para criar ou atualizar a política de cluster do MSK especificada. Se você estiver atualizando a política, o campo currentVersion será obrigatório na carga da solicitação.
**GetClusterPolicy**
Recupera o texto JSON do documento de política de cluster anexado ao cluster.
**DeleteClusterPolicy**
Exclui a política de cluster.
Veja a seguir um exemplo do JSON para uma política básica de cluster, semelhante à política padrão apresentada no editor de políticas do IAM do console do MSK. A política a seguir concede permissões de acesso a nível de cluster, tópico e grupo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"kafka-cluster:*",
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2",
"arn:aws:kafka:us-east-1:123456789012:topic/testing/*",
"arn:aws:kafka:us-east-1:123456789012:group/testing/*"
]
}]
}
```
------
**Permissões de cliente para conectividade privada multi-VPC com um cluster do MSK**
Para configurar a conectividade privada multi-VPC entre um cliente Kafka e um cluster do MSK, o cliente precisa ter uma política de identidade anexada que conceda permissões para as ações `kafka:CreateVpcConnection`, `ec2:CreateTags` e `ec2:CreateVPCEndpoint` no cliente. Para referência, este é um exemplo do JSON para uma política básica de identidade de cliente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint"
],
"Resource": "*"
}
]
}
```
------
# Informações de porta
Use os seguintes números de porta para que o Amazon MSK possa se comunicar com máquinas clientes:
+ Para se comunicar com agentes em texto simples, os agentes usam a porta 9092.
+ Para se comunicar com corretores com criptografia TLS, use a porta 9094 para acesso interno AWS e a porta 9194 para acesso público.
+ Para se comunicar com corretores com SASL/SCRAM, use a porta 9096 para acesso interno AWS e a porta 9196 para acesso público.
+ Para se comunicar com corretores em um cluster configurado para uso[Controle de acesso do IAM](iam-access-control.md), use a porta 9098 para acesso interno AWS e a porta 9198 para acesso público.
+ Para se comunicar com corretores usando o tipo IPv6 de rede em texto simples, use a porta 20092
+ Para se comunicar com corretores em um cluster configurado para usar o controle de acesso do IAM IPv6, use a porta 20098.
+ Para se comunicar com os corretores SASL/SCRAM usando IPv6, use a porta 20096.
+ Para se comunicar com corretores usando criptografia TLS IPv6, use a porta 20094.