As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Permissões para conectividade privada multi-VPC Esta seção resume as permissões necessárias para clientes e clusters que usam o recurso de conectividade privada multi-VPC. A conectividade privada multi-VPC exige que o administrador do cliente crie permissões em cada cliente que terá uma conexão VPC gerenciada com o cluster do MSK. Também exige que o administrador do cluster MSK habilite a PrivateLink conectividade no cluster MSK e selecione esquemas de autenticação para controlar o acesso ao cluster. **Tipo de autenticação de cluster e permissões de acesso a tópicos** Ative o recurso de conectividade privada multi-VPC para esquemas de autenticação habilitados para seu cluster do MSK. Consulte [Requisitos e limitações para conectividade privada multi-VPC](aws-access-mult-vpc.md#mvpc-requirements). Se você estiver configurando seu cluster MSK para usar o esquema de SASL/SCRAM autenticação, a propriedade Apache ACLs Kafka é obrigatória. `allow.everyone.if.no.acl.found=false` Após definir as [Apache Kafka ACLs](msk-acls.md) para seu cluster, atualize a configuração do cluster para que a propriedade `allow.everyone.if.no.acl.found` seja falsa para o cluster. Para obter informações sobre como atualizar a configuração de um cluster, consulte [Operações de configuração do agente](msk-configuration-operations.md). **Permissões de política de cluster entre contas** Se um cliente Kafka estiver em uma AWS conta diferente do cluster MSK, anexe uma política baseada em cluster ao cluster MSK que autorize o usuário raiz do cliente a conectividade entre contas. Você pode editar a política de cluster de várias VPCs usando o editor de políticas do IAM no console MSK (**configurações de segurança do** cluster > **Editar política do cluster**) ou usar o seguinte APIs para gerenciar a política do cluster: **PutClusterPolicy** Anexa a política de cluster ao cluster. Você pode usar essa API para criar ou atualizar a política de cluster do MSK especificada. Se você estiver atualizando a política, o campo currentVersion será obrigatório na carga da solicitação. **GetClusterPolicy** Recupera o texto JSON do documento de política de cluster anexado ao cluster. **DeleteClusterPolicy** Exclui a política de cluster. Veja a seguir um exemplo do JSON para uma política básica de cluster, semelhante à política padrão apresentada no editor de políticas do IAM do console do MSK. A política a seguir concede permissões de acesso a nível de cluster, tópico e grupo. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "kafka-cluster:*", "kafka:CreateVpcConnection", "kafka:GetBootstrapBrokers", "kafka:DescribeCluster", "kafka:DescribeClusterV2" ], "Resource": [ "arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2", "arn:aws:kafka:us-east-1:123456789012:topic/testing/*", "arn:aws:kafka:us-east-1:123456789012:group/testing/*" ] }] } ``` ------ **Permissões de cliente para conectividade privada multi-VPC com um cluster do MSK** Para configurar a conectividade privada multi-VPC entre um cliente Kafka e um cluster do MSK, o cliente precisa ter uma política de identidade anexada que conceda permissões para as ações `kafka:CreateVpcConnection`, `ec2:CreateTags` e `ec2:CreateVPCEndpoint` no cliente. Para referência, este é um exemplo do JSON para uma política básica de identidade de cliente. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:CreateVpcConnection", "ec2:CreateTags", "ec2:CreateVPCEndpoint" ], "Resource": "*" } ] } ``` ------