更新集群的安全设置 - Amazon Managed Streaming for Apache Kafka
使用更新群集的安全设置Amazon Web Services Management Console使用更新群集的安全设置Amazon CLI使用 API 更新集群的安全设置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新集群的安全设置

使用此 Amazon MSK 操作更新您的 MSK 集群的身份验证和客户端代理加密设置。您还可以更新用于签署双向 TLS 身份验证的证书的私有安全机构。您不能更改集群中 (broker-to-broker) 加密设置。

集群必须位于ACTIVE状态,以便您更新其安全设置。

如果您使用 IAM、SASL 或 TLS 启用身份验证,则还必须启用客户端和代理之间的加密。下表显示了可能的组合。

身份验证 客户端代理加密选项 经纪商加密
未经身份验证的 TLS、明文、TLS_PLAINTEXT 可以打开或关闭。
MTL TLS,TLS_PLAINTEXT 必须打开。
SASL/SCRAM TLS 必须打开。
SASLUSTERS TLS 必须打开。

当客户端代理加密设置为TLS_PLAINTEXT并且客户端身份验证设置为mTLS中,Amazon MSK 创建了两种类型的侦听器供客户端连接:一种监听器供客户端使用 MTLS 身份验证和 TLS 加密进行连接,另一种监听器供客户端在不进行身份验证或加密的情况下进行连接(明文)。

有关安全设置的更多信息,请参阅Apache KaManaged Streaming for Apache Kafka.

使用更新群集的安全设置Amazon Web Services Management Console

  1. 从打开 Amazon MSK 控制台https://console.amazonaws.cn/msk/.

  2. 选择要更新的 MSK 集群。

  3. 安全设置部分,选择编辑.

  4. 为群集选择所需的身份验证和加密设置,然后选择保存更改.

使用更新群集的安全设置Amazon CLI

  1. 创建包含您希望集群采用的加密设置的 JSON 文件。以下是示例。

    注意

    您只能更新客户端代理加密设置。您无法更新集群中 (broker-to-broker) 加密设置。

    {"EncryptionInTransit":{"ClientBroker": "TLS"}}

  2. 创建包含您希望集群采用的身份验证设置的 JSON 文件。以下是示例。

    {"Sasl":{"Scram":{"Enabled":true}}}

  3. 运行以下 Amazon CLI 命令:

    aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

    update-security 操作的输出如以下 JSON 所示:

    {
    
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}

  4. 查看的状态update-security操作时,运行以下命令,将ClusterOperationArn使用您在输出中获得的 ARNupdate-security命令。

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    describe-cluster-operation 命令的输出如以下 JSON 示例所示。

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2021-09-17T02:35:47.753000+00:00",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "PENDING",
        "OperationType": "UPDATE_SECURITY",
        "SourceClusterInfo": {},
        "TargetClusterInfo": {}
    }
}

    如果OperationState有价值PENDING要么UPDATE_IN_PROGRESS,请等待一段时间,然后运行describe-cluster-operation再次命令。

使用 API 更新集群的安全设置

要使用 API 更新集群的安全设置,请参阅UpdateSecurity.

注意

这些区域有:Amazon CLI和用于更新集群安全设置的 API 操作是幂等的。这意味着,如果您调用安全更新操作并指定与集群当前设置相同的身份验证或加密设置,则该设置不会更改。