Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configura i prerequisiti per MSK Replicator con cluster Apache Kafka autogestiti
<a name="msk-replicator-external-prereqs"></a>

## Crea un ruolo di esecuzione IAM
<a name="msk-replicator-external-iam-role"></a>

Crea un ruolo IAM con una politica di fiducia per`kafka.amazonaws.com`. Allega la policy `AWSMSKReplicatorExecutionRole` gestita. La policy gestita concede le autorizzazioni Kafka a livello di cluster, argomento e gruppo di consumatori di cui il Replicator ha bisogno, ma *non* include le autorizzazioni Gestione dei segreti AWS o AWS KMS , che sono necessarie per l'autenticazione e le credenziali. SASL/SCRAM CMK-encrypted Per gli snippet di policy in linea da aggiungere, consulta. [Autorizzazioni SER aggiuntive e chiavi gestite dal cliente SASL/SCRAM](msk-replicator-ser-additional-perms.md)

Esempio di politica di fiducia:

```
{
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Service": "kafka.amazonaws.com"},
    "Action": "sts:AssumeRole"
  }]
}
```

## Configurare le SASL/SCRAM autorizzazioni utente e ACL
<a name="msk-replicator-external-scram"></a>

Crea un utente SCRAM dedicato sul tuo cluster Kafka autogestito. Sono richieste le seguenti autorizzazioni ACL:

1. Leggi, descrivi su tutti gli argomenti

1. Leggi, descrivi su tutti i gruppi di consumatori

1. Descrivi sulla risorsa del cluster

Esempi di comandi kafka-acls.sh:

```
# Grant Read and Describe on all topics
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Read --operation Describe \
  --topic '*'

# Grant Read and Describe on all consumer groups
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Read --operation Describe \
  --group '*'

# Grant Describe on cluster
kafka-acls.sh --bootstrap-server <broker>:9092 \
  --add --allow-principal User:msk-replicator \
  --operation Describe --cluster
```

## Configurare SSL su un cluster autogestito
<a name="msk-replicator-external-ssl"></a>

Configura i listener SSL sui tuoi broker. Per i certificati pubblicamente attendibili, non è richiesta alcuna configurazione aggiuntiva. Per i certificati privati o autofirmati, includi l'intera catena di certificati CA nel segreto archiviato in AWS Secrets Manager.

## Memorizza le credenziali in AWS Secrets Manager
<a name="msk-replicator-external-secrets"></a>

Crea un segreto di tipo *Altro* (non RDS/Redshift) in AWS Secrets Manager con le seguenti coppie chiave-valore:

1. `username`— Nome utente SCRAM per il cluster autogestito

1. `password`— Password SCRAM per il cluster autogestito

1. `certificate`— Catena di certificati CA (formato PEM; richiesta per private/self i certificati firmati)

## Configurare la connettività di rete
<a name="msk-replicator-external-network"></a>

MSK Replicator richiede la connettività di rete al cluster Kafka autogestito. Opzioni supportate:
+ **AWS Site-to-Site VPN**: collega le reti locali al tuo VPC tramite Internet.
+ **AWS Direct Connect**: stabilisci una connessione di rete privata dedicata dalla tua sede a AWS.

## Configurazione dei gruppi di sicurezza
<a name="msk-replicator-external-security-groups"></a>

Assicurati che i gruppi di sicurezza consentano il traffico tra MSK Replicator e il cluster autogestito sulla porta SASL\_SSL (in genere 9096). Aggiorna sia le regole in entrata sui gruppi di sicurezza VPC che le regole in uscita sul firewall del cluster autogestito.