As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usar APIs do Amazon MSK com endpoints da VPC de interface
<a name="privatelink-vpc-endpoints"></a>

Você pode usar uma interface VPC Endpoint, alimentada por AWS PrivateLink, para evitar que o tráfego entre suas APIs Amazon VPC e Amazon MSK saia da rede Amazon. Os VPC Endpoints de interface não exigem um gateway de internet, dispositivo NAT, conexão VPN ou conexão Direct AWS Connect. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)é uma AWS tecnologia que permite a comunicação privada entre AWS serviços usando uma interface de rede elástica com IPs privados em sua Amazon VPC. Para obter mais informações, consulte [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) e [Interface VPC Endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint) ().AWS PrivateLink

Seus aplicativos podem se conectar às APIs Amazon MSK Provisioned e MSK Connect usando. AWS PrivateLink Para começar, crie uma interface VPC Endpoint para sua API Amazon MSK para iniciar o fluxo de tráfego de e para seus recursos da Amazon VPC por meio da interface VPC Endpoint. FIPS-enabled Os endpoints VPC de interface estão disponíveis para as regiões dos EUA. Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint).

Usando esse recurso, seus clientes do Apache Kafka podem buscar dinamicamente as cadeias de conexão para se conectar aos recursos do MSK Provisioned ou do MSK Connect sem percorrer a Internet para recuperar as cadeias de conexão.

Ao criar um endpoint da VPC de interface, escolha um dos seguintes endpoints de nome de serviço:

**Para o MSK Provisioned:**
+ Os seguintes endpoints de nome de serviço não são mais compatíveis com novas conexões:
  + com.amazonaws.region.kafka
  + com.amazonaws.region.kafka-fips () FIPS-enabled
+ Os serviços de endpoint Dualstack que suportam tráfego IPv4 e IPv6 são:
  + aws.api.region.kafka-api
  + aws.api.region.kafka-api-fips () FIPS-enabled

[Para configurar os endpoints dualstack, você deve seguir as Dual-stack diretrizes dos endpoints FIPS.](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)

Em que “region” é o nome da sua região. Escolha esse nome de serviço para trabalhar com as Provisioned-compatible APIs do MSK. Para obter mais informações, consulte [Operações](https://docs.aws.amazon.com/msk/1.0/apireference/operations.html) no *https://docs.aws.amazon.com/msk/1.0/apireference/*.

**Para o MSK Connect:**
+ com.amazonaws.region.kafkaconnect

Em que “region” é o nome da sua região. Escolha esse nome de serviço para trabalhar com as Connect-compatible APIs do MSK. Para obter mais informações, consulte [Ações](https://docs.aws.amazon.com/MSKC/latest/mskc/API_Operations.html) na *Referência de API do Amazon Connect*.

Para obter mais informações, incluindo instruções passo a passo para criar um endpoint da VPC da interface, consulte [Criação de um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint) no *Guia do AWS PrivateLink *.

## Controlar o acesso aos endpoints da VPC para as APIs do Amazon MSK Provisioned ou do MSK Connect
<a name="vpc-endpoints-control-access"></a>

As políticas de endpoint da VPC permitem que você controle o acesso anexando uma política a um endpoint da VPC ou usando campos adicionais em uma política anexada a um usuário, perfil ou grupo do IAM para restringir o acesso para ocorrer somente por meio do endpoint da VPC especificado. Use o exemplo de política apropriado para definir as permissões de acesso para o serviço do MSK Provisioned ou do MSK Connect.

Se você não associar uma política ao criar um endpoint, a Amazon VPC associará uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui as políticas do IAM nem as políticas fundamentadas na identidade e específicas do serviço. É uma política separada para controlar o acesso do endpoint ao serviço especificado.

Para obter mais informações, consulte [Controlar o acesso a serviços com endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink *.

------
#### [ MSK Provisioned — VPC policy example ]

**Read-only acesso**  
Esse exemplo de política pode ser anexado a um endpoint da VPC. (Para obter mais informações, consulte Como controlar o acesso aos recursos da Amazon VPC). Ele restringe as ações a somente listar e a descrever operações por meio do endpoint da VPC ao qual está anexado.

```
{
  "Statement": [
    {
      "Sid": "MSKReadOnly",
      "Principal": "*",
      "Action": [
        "kafka:List*",
        "kafka:Describe*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

**MSK Provisioned — exemplo de política de endpoint da VPC**  
Restringir acesso a um cluster específico do MSK

Esse exemplo de política pode ser anexado a um endpoint da VPC. Ele restringe o acesso a cluster específico do Kafka por meio do endpoint da VPC ao qual está anexado.

```
{
  "Statement": [
    {
      "Sid": "AccessToSpecificCluster",
      "Principal": "*",
      "Action": "kafka:*",
      "Effect": "Allow",
      "Resource": "arn:aws:kafka:us-east-1:123456789012:cluster/MyCluster"
    }
  ]
}
```

------
#### [ MSK Connect — VPC endpoint policy example ]

**Listar conectores e criar um conector**  
Veja a seguir um exemplo de política de endpoint para o MSK Connect. Essa política permite que a função especificada liste conectores e crie um conector.

```
{
    "Version": "2012-10-17", 		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "MSKConnectPermissions",
            "Effect": "Allow",
            "Action": [
                "kafkaconnect:ListConnectors",
                "kafkaconnect:CreateConnector"
            ],
            "Resource": "*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::{{111122223333}}:role/{{MyMSKConnectExecutionRole}}"
                ]
            }
        }
    ]
}
```

**MSK Connect: exemplo de política de endpoint da VPC**  
Permite somente solicitações de um endereço IP específico na VPC especificada

O exemplo a seguir mostra uma política que só permite a efetivação de solicitações provenientes de um endereço IP especificado na VPC estabelecida. Solicitações de outros endereços IP não são aceitas.

```
{
    "Statement": [
        {
            "Action": "kafkaconnect:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": "192.0.2.123"
                },
        "StringEquals": {
                    "aws:SourceVpc": "vpc-555555555555"
                }
            }
        }
    ]
}
```

------