本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更新 Amazon MSK 集群的安全设置
使用 UpdateSecurityAmazon MSK 操作更新您的 MSK 集群的身份验证和客户端代理加密设置。您还可以更新用于签署证书以进行双向 TLS 身份验证的私有安全证书颁发机构。您无法更改集群内 (broker-to-broker) 加密设置。
集群必须处于 ACTIVE 状态才能更新安全设置。
如果启用使用 IAM、SASL 或 TLS 的身份验证,您还必须开启客户端和代理之间的加密。下表显示了可能的组合。
| 身份验证 | 客户端到代理加密选项 | 代理到代理加密 |
|---|---|---|
| 无身份验证 | TLS、PLAINTEXT、TLS_PLAINTEXT | 可以开启或关闭。 |
| mTLS | TLS、TLS_PLAINTEX | 必须打开。 |
| SASL/SCRAM | TLS | 必须打开。 |
| SASL/IAM | TLS | 必须打开。 |
当客户端到代理加密设置为 TLS_PLAINTEXT,且客户端到身份验证设置为 mTLS 时,Amazon MSK 会创建两种类型的侦听器供客户端连接:一种是供客户端在使用 mTLS 身份验证和 TLS 加密的情况下进行连接,另一种是供客户端在不使用身份验证或加密的情况下进行连接(明文)。
有关安全设置的更多信息,请参阅亚马逊 MSK 中的安全。