创建支持客户端身份验证的 Amazon MSK 集群

此程序说明了如何使用 Amazon 私有 CA 启用客户端身份验证。

注意

在使用双向 TLS 控制访问时，强烈建议对每个 MSK 集群使用独立 Amazon 私有 CA。这样做可以确保由 PCA 签署的 TLS 证书仅在单个 MSK 集群中进行身份验证。

使用以下内容创建名为 clientauthinfo.json 的文件。将 Private-CA-ARN 替换为您的 PCA 的 ARN。
```
{
   "Tls": {
       "CertificateAuthorityArnList": ["Private-CA-ARN"]
    }
}
```
创建一个名为 brokernodegroupinfo.json 的文件，如使用 Amazon CLI 创建预置 Amazon MSK 集群中所述。
客户端身份验证还要求您启用客户端和代理之间的传输中加密。使用以下内容创建名为 encryptioninfo.json 的文件。将 KMS-Key-ARN 替换为您的 KMS 密钥的 ARN。可以将 ClientBroker 设置为 TLS 或 TLS_PLAINTEXT。
```
{
   "EncryptionAtRest": {
       "DataVolumeKMSKeyId": "KMS-Key-ARN"
    },
   "EncryptionInTransit": {
        "InCluster": true,
        "ClientBroker": "TLS"
    }
}
```
有关加密的更多信息，请参阅Amazon MSK 加密。

在已安装 Amazon CLI 的计算机上，运行以下命令以创建启用了身份验证和传输加密的集群。保存响应中提供的集群 ARN。


aws kafka create-cluster --cluster-name "AuthenticationTest" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --client-authentication file://clientauthinfo.json --kafka-version "{YOUR KAFKA VERSION}" --number-of-broker-nodes 3

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

双向 TLS 身份验证

将客户端设置为使用身份验证