更新集群的安全设置 - Amazon Managed Streaming for Apache Kafka
使用更新群集的安全设置Amazon Web Services Management Console使用更新群集的安全设置Amazon CLI使用 API 更新集群的安全设置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新集群的安全设置

使用此 Amazon MSK 操作更新 MSK 集群的身份验证和客户端-代理加密设置。您还可以更新用于签署证书以进行双向 TLS 身份验证的私人安全机构。您无法更改群集内(经纪商到经纪商)加密设置。

集群必须位于ACTIVE状态供您更新其安全设置。

如果您使用 IAM、SASL 或 TLS 启用身份验证,则还必须在客户端和经纪商之间启用加密。下表显示了可能的组合。

身份验证 客户-经纪商加密选项 经纪商加密
未经验证的 TLS、纯文本、TLS_纯文本 可以打开或关闭。
MTL TLS,TLS_纯文本 必须打开。
SASL/SCRAM TLS 必须打开。
SASL/IAM TLS 必须打开。

当客户端经纪人加密设置为TLS_PLAINTEXT并且客户端身份验证设置为mTLS,Amazon MSK 创建了两种类型的监听器供客户端连接:一种监听器供客户端使用 MTL 身份验证与 TLS 加密进行连接,另一种用于客户端无需身份验证或加密(纯文本)进行连接的监听器。

有关安全设置的更多信息,请参阅Amazon Managed Streaming for Apache Kafka 安全性.

使用更新群集的安全设置Amazon Web Services Management Console

  1. 从打开 Amazon MSK 控制台https://console.amazonaws.cn/msk/.

  2. 选择要更新的 MSK 集群。

  3. 安全设置部分,选择。编辑.

  4. 选择群集所需的身份验证和加密设置,然后选择保存更改。.

使用更新群集的安全设置Amazon CLI

  1. 创建包含您希望集群拥有的加密设置的 JSON 文件。以下是示例。

    注意

    您只能更新客户代理加密设置。您无法更新群集内(经纪商到经纪商)加密设置。

    {"EncryptionInTransit":{"ClientBroker": "TLS"}}

  2. 创建包含您希望集群拥有的身份验证设置的 JSON 文件。以下是示例。

    {"Sasl":{"Scram":{"Enabled":true}}}

  3. 运行以下 Amazon CLI 命令:

    aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

    update-security 操作的输出如以下 JSON 所示:

    {
    
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}

  4. 要查看的状态update-security操作中,运行以下命令,替换ClusterOperationArn使用你在输出中获得的 ARNupdate-security命令。

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    describe-cluster-operation 命令的输出如以下 JSON 示例所示。

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2021-09-17T02:35:47.753000+00:00",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "PENDING",
        "OperationType": "UPDATE_SECURITY",
        "SourceClusterInfo": {},
        "TargetClusterInfo": {}
    }
}

    如果OperationState有价值PENDING要么UPDATE_IN_PROGRESS,等待一段时间,然后运行describe-cluster-operation再次命令。

使用 API 更新集群的安全设置

要使用 API 更新集群的安全设置,请参阅更新安全.

注意

这些区域有:Amazon CLI而且用于更新集群安全设置的 API 操作是幂等的。这意味着,如果您调用安全更新操作并指定与群集当前具有的相同设置的身份验证或加密设置,则该设置将不会更改。