Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Etapa 3: ações de usuários entre contas para configurar conexões de VPC gerenciadas pelo cliente

PDF
RSS
Modo de foco
Etapa 3: ações de usuários entre contas para configurar conexões de VPC gerenciadas pelo cliente - Amazon Managed Streaming for Apache Kafka

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Para configurar a conectividade privada multi-VPC entre um cliente em uma conta diferente do cluster do MSK, o usuário entre contas cria uma conexão VPC gerenciada para o cliente. É possível conectar vários clientes ao cluster do MSK repetindo esse procedimento. Para fins desse caso de uso, você configurará apenas um cliente.

Os clientes podem usar os esquemas de autenticação compatíveis IAM, SASL/SCRAM ou TLS. Cada conexão de VPC gerenciada só pode ter um esquema de autenticação associado a ela. O esquema de autenticação do cliente deve ser configurado no cluster do MSK ao qual o cliente se conectará.

Para esse caso de uso, configure o esquema de autenticação do cliente para que o cliente na conta B use o esquema de autenticação do IAM.

Pré-requisitos

Esse processo requer os seguintes itens:

  • A política de cluster criada anteriormente que concede ao cliente na conta B permissão para realizar ações no cluster do MSK na conta A.

  • Uma política de identidade anexada ao cliente na conta B que concede permissões para as ações kafka:CreateVpcConnection, ec2:CreateTags, ec2:CreateVPCEndpoint e ec2:DescribeVpcAttribute.

Para referência, este é um exemplo do JSON para uma política básica de identidade de cliente.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kafka:CreateVpcConnection",
        "ec2:CreateTags",
        "ec2:CreateVPCEndpoint",
        "ec2:DescribeVpcAttribute"
      ],
      "Resource": "*"
    }
  ]
}
Para criar uma conexão de VPC gerenciada para um cliente na conta B

  1. Do administrador do cluster, obtenha o ARN do cluster do MSK na conta A ao qual você deseja que o cliente na conta B se conecte. Anote o ARN do cluster para usar posteriormente.

  2. No console do MSK da conta B do cliente, escolha Conexões VPC gerenciadas e, em seguida, escolha Criar conexão.

  3. No painel Configurações de conexão, cole o ARN do cluster no campo de texto ARN do cluster e escolha Verificar.

  4. Selecione o Tipo de autenticação para o cliente na conta B. Para esse caso de uso, escolha IAM ao criar a conexão VPC do cliente.

  5. Escolha a VPC para o cliente.

  6. Escolha pelo menos duas zonas de disponibilidade e sub-redes associadas. Você pode obter a zona IDs de disponibilidade nos detalhes do cluster do AWS Management Console ou usando a DescribeClusterAPI ou o comando da AWS CLI describe-cluster. A zona IDs que você especifica para a sub-rede do cliente deve corresponder às da sub-rede do cluster. Se os valores de uma sub-rede estiverem ausentes, primeiro crie uma sub-rede com o mesmo ID de zona do seu cluster do MSK.

  7. Escolha um Grupo de segurança para essa conexão VPC. Você pode usar o grupo de segurança padrão. Para mais informações sobre a configuração de grupos de segurança, consulte Controlar o tráfego para recursos usando grupos de segurança.

  8. Selecione Criar conexão.

  9. Para obter a lista das novas strings de agente de bootstrap no console do MSK do usuário entre contas (Detalhes do cluster > Conexão VPC gerenciada), consulte as strings de agente de bootstrap exibidas em “Cadeia de conexão do cluster”. Na Conta B do cliente, a lista de corretores de bootstrap pode ser visualizada chamando a GetBootstrapBrokersAPI ou visualizando a lista de corretores de bootstrap nos detalhes do cluster do console.

  10. Atualize os grupos de segurança associados às conexões de VPC da seguinte forma:

    1. Defina regras de entrada para a PrivateLink VPC para permitir todo o tráfego do intervalo de IP da rede da Conta B.

    2. [Opcional] Defina as regras de conectividade de saída para o cluster do MSK. Escolha o grupo de segurança no console da VPC, Editar regras de saída e adicione uma regra para o Tráfego TCP personalizado para os intervalos de portas 14001-14100. O balanceador de carga de rede multi-VPC está escutando nos intervalos de portas 14001-14100. Consulte Network Load Balancers.

  11. Configure o cliente na conta B para usar os novos agentes de bootstrap para conectividade privada multi-VPC para se conectar ao cluster do MSK na conta A. Consulte Produzir e consumir dados.

Após a conclusão da autorização, o Amazon MSK criará uma conexão VPC gerenciada para cada VPC e esquema de autenticação especificados. O grupo de segurança escolhido será associado a cada conexão. Essa conexão VPC gerenciada é configurada pelo Amazon MSK para se conectar de maneira privada aos agentes. Você pode usar o novo conjunto de agentes de bootstrap para se conectar de maneira privada ao cluster do Amazon MSK.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.