View a markdown version of this page

Configure os pré-requisitos para o MSK Replicator com clusters autogerenciados do Apache Kafka - Amazon Managed Streaming for Apache Kafka
Criar um perfil de execução do IAM.Configurar SASL/SCRAM permissões de usuário e ACLConfigurar o SSL em um cluster autogerenciadoArmazene credenciais em AWS Secrets Manager Configurar a conectividade de redeConfigurar grupos de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure os pré-requisitos para o MSK Replicator com clusters autogerenciados do Apache Kafka

Criar um perfil de execução do IAM.

Crie uma função do IAM com uma política de confiança parakafka.amazonaws.com. Anexe a política AWSMSKReplicatorExecutionRole gerenciada. A política gerenciada concede ao Kafka em nível de cluster, tópico e grupo de consumidores as permissões de que o Replicador precisa, mas não inclui AWS KMS as permissões necessárias para autenticação e AWS Secrets Manager credenciais. SASL/SCRAM CMK-encrypted Para ver os trechos de política em linha a serem adicionados, consulte. Permissões de SER adicionais SASL/SCRAM e chaves gerenciadas pelo cliente

Exemplo de política de confiança:

{
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Service": "kafka.amazonaws.com"},
    "Action": "sts:AssumeRole"
  }]
}

Configurar SASL/SCRAM permissões de usuário e ACL

Crie um usuário SCRAM dedicado em seu cluster Kafka autogerenciado. As seguintes permissões de ACL são necessárias:

  1. Leia, descreva sobre todos os tópicos

  2. Leia e descreva em todos os grupos de consumidores

  3. Descreva o recurso do cluster

Exemplos de comandos do kafka-acls.sh:

# Grant Read and Describe on all topics
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Read --operation Describe \
  --topic '*'

# Grant Read and Describe on all consumer groups
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Read --operation Describe \
  --group '*'

# Grant Describe on cluster
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Describe --cluster

Configurar o SSL em um cluster autogerenciado

Configure ouvintes SSL em seus corretores. Para certificados publicamente confiáveis, nenhuma configuração adicional é necessária. Para certificados privados ou autoassinados, inclua toda a cadeia de certificados CA no segredo armazenado no AWS Secrets Manager.

Armazene credenciais em AWS Secrets Manager 

Crie um segredo do tipo Outro (não RDS/Redshift) no AWS Secrets Manager com os seguintes pares de valores-chave:

  1. username— Nome de usuário SCRAM para o cluster autogerenciado

  2. password— Senha SCRAM para o cluster autogerenciado

  3. certificate— Cadeia de certificados CA (formato PEM; necessária para certificados private/self assinados)

Configurar a conectividade de rede

O MSK Replicator requer conectividade de rede com seu cluster Kafka autogerenciado. Opções suportadas:

  • AWS Site-to-Site VPN — Conecte redes locais à sua VPC pela Internet.

  • AWS Direct Connect — Estabeleça uma conexão de rede privada dedicada de suas instalações para AWS.

Configurar grupos de segurança

Certifique-se de que os grupos de segurança permitam tráfego entre o MSK Replicator e o cluster autogerenciado na porta SASL_SSL (normalmente 9096). Atualize as regras de entrada nos grupos de segurança da VPC e as regras de saída no firewall de cluster autogerenciado.