本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 1：在帳戶 A 中的 MSK 叢集上，針對叢集上的 IAM 身分驗證機制開啟多 VPC 連線
<a name="mvpc-cluster-owner-action-turn-on"></a>

MSK 叢集擁有者需要在叢集建立並處於 ACTIVE 狀態之後，在 MSK 叢集上進行組態設定。

叢集擁有者針對將在叢集上處於作用中狀態的任何身分驗證機制，開啟 ACTIVE 叢集上的多 VPC 私有連線。您可以使用 [UpdateSecurity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html) 或 MSK 主控台來完成此操作。IAM、SASL/SCRAM 和 TLS 身分驗證機制支援多 VPC 私有連線。未經身分驗證的叢集無法啟用多 VPC 私有連線。

對於此使用案例，您將設定叢集以使用 IAM 身分驗證機制。

**注意**  
如果您將 MSK 叢集設定為使用 SASL/SCRAM 身分驗證機制，則必須使用 Apache Kafka ACL 屬性 "`allow.everyone.if.no.acl.found=false`"。請參閱 [Apache Kafka ACL](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)。

更新多 VPC 私有連線設定後，Amazon MSK 會以滾動式的方式，重新啟動更新代理程式組態的代理程式節點。這最多需要 30 分鐘或更久的時間才會完成。連線正在更新時，無法對叢集進行其他更新。

**使用主控台為帳戶 A 中叢集上所選身分驗證機制開啟多 VPC**

1. 在叢集所在的帳戶中，開啟位於 [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html) 的 Amazon MSK 主控台。

1. 在導覽窗格的 **MSK 叢集**下，選擇**叢集**以顯示帳戶中的叢集清單。

1. 選取要設定多 VPC 私有連線的叢集。叢集必須處於 ACTIVE 狀態。

1. 選取叢集**屬性**索引標籤，然後移至**網路設定**。

1. 選取**編輯**下拉式選單，然後選取**開啟多 VPC 連線**。

1. 選取要為此叢集開啟的一個或多個身分驗證類型。對於此使用案例，請選取 **IAM 角色型身分驗證**。

1. 選取**儲存變更**。

**Example - UpdateConnectivity API，會開啟叢集上身分驗證機制的多 VPC 私有連線**  
作為 MSK 主控台的替代方案，您可以使用 [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html)，來開啟多 VPC 私有連線，並在 ACTIVE 叢集上設定身分驗證機制。下列範例顯示針對此叢集開啟 IAM 身分驗證機制。  

```
{
  "currentVersion": "K3T4TT2Z381HKD",
  "connectivityInfo": {
    "vpcConnectivity": {
      "clientAuthentication": {
        "sasl": {
          "iam": {
            "enabled": TRUE
            }
        }
      }
    }
  }
}
```

Amazon MSK 會建立私有連線所需的網路基礎設施。Amazon MSK 也會為需要私有連線的每個身分驗證類型，建立一組新的引導代理程式端點。請注意，純文字身分驗證機制不支援多 VPC 私有連線。