本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 为 Amazon MSK 集群设置 SASL/SCRAM 身份验证 要在 Secr Amazon ets Manager 中设置密钥,请按照 Secrets Man [ager 用户指南中的[创建和检索密](https://docs.amazonaws.cn/secretsmanager/latest/userguide/tutorials_basic.html)Amazon 钥](https://docs.amazonaws.cn/secretsmanager/latest/userguide/intro.html)教程进行操作。 在为 Amazon MSK 集群创建密钥时,请注意以下要求: + 对于密钥类型,请选择**其他密钥类型(例如 API 密钥)**。 + 您的密钥名称必须以前缀 **AmazonMSK\$1** 开头。 + 您必须使用现有的自定义 Amazon KMS 密钥或为您的密 Amazon KMS 钥创建新的自定义密钥。默认情况下,Secrets Manager 对密 Amazon KMS 钥使用默认密钥。 **重要** 使用默认密钥创建的密 Amazon KMS 钥不能用于 Amazon MSK 集群。 + 您的登录凭证数据必须采用以下格式,才能使用**明文**选项输入键值对。 ``` { "username": "alice", "password": "alice-secret" } ``` + 记录密钥的 ARN(Amazon 资源名称)值。 + **重要** 您不能将 Secrets Manager 密钥与超出 [调整集群的大小:每个标准代理的分区数量](bestpractices.md#partitions-per-broker) 中所述限制的集群关联。 + 如果您使用创建密钥,请为参数指定密钥 ID 或 ARN。 Amazon CLI `kms-key-id`不要指定别名。 + 要将密钥与您的集群关联,请使用 Amazon MSK 控制台或[ BatchAssociateScramSecret](https://docs.amazonaws.cn/msk/1.0/apireference/clusters-clusterarn-scram-secrets.html#BatchAssociateScramSecret)操作。 **重要** 当您将密钥与集群关联时,Amazon MSK 会向该密钥附加资源策略,以允许您的集群访问和读取您定义的密钥值。您不应修改此资源策略。这样做可能会阻止您的集群访问密钥。如果对密钥资源策略和/或用于密钥加密的 KMS 密钥进行了任何更改,请确保将密钥重新关联至 MSK 集群。这可以确保集群能继续访问密钥。 `BatchAssociateScramSecret` 操作的以下 JSON 输入示例将密钥与集群关联: ``` { "clusterArn" : "arn:aws:kafka:us-west-2:0123456789019:cluster/SalesCluster/abcd1234-abcd-cafe-abab-9876543210ab-4", "secretArnList": [ "arn:aws:secretsmanager:us-west-2:0123456789019:secret:AmazonMSK_MyClusterSecret" ] } ```