View a markdown version of this page

Configure os pré-requisitos para o MSK Replicator com clusters autogerenciados do Apache Kafka - Amazon Managed Streaming for Apache Kafka

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure os pré-requisitos para o MSK Replicator com clusters autogerenciados do Apache Kafka

Criar um perfil de execução do IAM.

Crie uma função do IAM com uma política de confiança parakafka.amazonaws.com. Anexe a política AWSMSKReplicatorExecutionRole gerenciada. A política gerenciada concede ao Kafka em nível de cluster, tópico e grupo de consumidores as permissões de que o Replicador precisa, mas não inclui AWS KMS as permissões necessárias para autenticação e AWS Secrets Manager credenciais. SASL/SCRAM CMK-encrypted Para ver os trechos de política em linha a serem adicionados, consulte. Permissões de SER adicionais para SASL/SCRAM, mTLS e chaves gerenciadas pelo cliente

Exemplo de política de confiança:

{ "Statement": [{ "Effect": "Allow", "Principal": {"Service": "kafka.amazonaws.com"}, "Action": "sts:AssumeRole" }] }

Configurar SASL/SCRAM permissões de usuário e ACL

Crie um usuário SCRAM dedicado em seu cluster Kafka autogerenciado. As seguintes permissões de ACL são necessárias:

  1. Leia, descreva sobre todos os tópicos

  2. Leia e descreva em todos os grupos de consumidores

  3. Descreva o recurso do cluster

Exemplos de comandos kafka-acls.sh:

# Grant Read and Describe on all topics kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --topic '*' # Grant Read and Describe on all consumer groups kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --group '*' # Grant Describe on cluster kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Describe --cluster

Configurar mTLS em um cluster autogerenciado

Configure um ouvinte SSL em seus corretores Kafka autogerenciados com. ssl.client.auth=required O armazenamento confiável do corretor deve conter o certificado CA que assinou o certificado do cliente que você usará para o MSK Replicator.

Conceda permissões de ACL ao principal do Kafka derivadas do Nome Distinto (DN) do certificado do cliente. As permissões necessárias são: ler e descrever em todos os tópicos, ler e descrever em todos os grupos de consumidores e descrever no recurso de cluster.

Configurar SSL em um cluster autogerenciado

Configure ouvintes SSL em seus corretores. Para certificados publicamente confiáveis, nenhuma configuração adicional é necessária. Para certificados privados ou autoassinados, inclua toda a cadeia de certificados CA no segredo armazenado no AWS Secrets Manager.

Armazene credenciais em AWS Secrets Manager 

Crie um segredo do tipo Outro (não RDS/Redshift) no AWS Secrets Manager com os pares de valores-chave apropriados para seu tipo de autenticação.

Para SASL/SCRAM:

  1. username— Nome de usuário SCRAM para o cluster autogerenciado

  2. password— Senha SCRAM para o cluster autogerenciado

  3. certificate— Cadeia de certificados CA (formato PEM; necessária para certificados private/self assinados)

Para mTLS:

  1. certificate— cadeia de certificados de PEM-encoded clientes

  2. privateKey— chave PEM-encoded privada

  3. privateKeyPassword— (Opcional) Senha para a chave privada, necessária somente para chaves PKCS8 criptografadas

Configurar a conectividade de rede

O MSK Replicator requer conectividade de rede com seu cluster Kafka autogerenciado. Opções suportadas:

  • AWS Site-to-Site VPN — Conecte redes locais à sua VPC pela Internet.

  • AWS Direct Connect — Estabeleça uma conexão de rede privada dedicada de suas instalações para AWS.

Configurar grupos de segurança

Garanta que os grupos de segurança permitam tráfego entre o MSK Replicator e o cluster autogerenciado na porta usada pelo seu ouvinte de autenticação. Atualize as regras de entrada nos grupos de segurança da VPC e as regras de saída no firewall de cluster autogerenciado.