本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更新集群的安全设置
使用此 Amazon MSK 操作更新 MSK 集群的身份验证和客户端-代理加密设置。您还可以更新用于签署证书以进行双向 TLS 身份验证的私人安全机构。您无法更改群集内(经纪商到经纪商)加密设置。
集群必须位于ACTIVE
状态供您更新其安全设置。
如果您使用 IAM、SASL 或 TLS 启用身份验证,则还必须在客户端和经纪商之间启用加密。下表显示了可能的组合。
身份验证 | 客户-经纪商加密选项 | 经纪商加密 |
---|---|---|
未经验证的 | TLS、纯文本、TLS_纯文本 | 可以打开或关闭。 |
MTL | TLS,TLS_纯文本 | 必须打开。 |
SASL/SCRAM | TLS | 必须打开。 |
SASL/IAM | TLS | 必须打开。 |
当客户端经纪人加密设置为TLS_PLAINTEXT
并且客户端身份验证设置为mTLS
,Amazon MSK 创建了两种类型的监听器供客户端连接:一种监听器供客户端使用 MTL 身份验证与 TLS 加密进行连接,另一种用于客户端无需身份验证或加密(纯文本)进行连接的监听器。
有关安全设置的更多信息,请参阅Amazon Managed Streaming for Apache Kafka 安全性.
使用更新群集的安全设置Amazon Web Services Management Console
从打开 Amazon MSK 控制台https://console.amazonaws.cn/msk/
. -
选择要更新的 MSK 集群。
-
在安全设置部分,选择。编辑.
-
选择群集所需的身份验证和加密设置,然后选择保存更改。.
使用更新群集的安全设置Amazon CLI
-
创建包含您希望集群拥有的加密设置的 JSON 文件。以下是示例。
注意 您只能更新客户代理加密设置。您无法更新群集内(经纪商到经纪商)加密设置。
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
创建包含您希望集群拥有的身份验证设置的 JSON 文件。以下是示例。
{"Sasl":{"Scram":{"Enabled":true}}}
运行以下 Amazon CLI 命令:
aws kafka update-security --cluster-arn
ClusterArn
--current-versionCurrent-Cluster-Version
--client-authentication file://Path-to-Authentication-Settings-JSON-File
--encryption-info file://Path-to-Encryption-Settings-JSON-File
该
update-security
操作的输出如以下 JSON 所示:{ "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" }
-
要查看的状态
update-security
操作中,运行以下命令,替换ClusterOperationArn
使用你在输出中获得的 ARNupdate-security
命令。aws kafka describe-cluster-operation --cluster-operation-arn
ClusterOperationArn
该
describe-cluster-operation
命令的输出如以下 JSON 示例所示。{ "ClusterOperationInfo": { "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2021-09-17T02:35:47.753000+00:00", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "PENDING", "OperationType": "UPDATE_SECURITY", "SourceClusterInfo": {}, "TargetClusterInfo": {} } }
如果
OperationState
有价值PENDING
要么UPDATE_IN_PROGRESS
,等待一段时间,然后运行describe-cluster-operation
再次命令。
使用 API 更新集群的安全设置
要使用 API 更新集群的安全设置,请参阅更新安全.
这些区域有:Amazon CLI而且用于更新集群安全设置的 API 操作是幂等的。这意味着,如果您调用安全更新操作并指定与群集当前具有的相同设置的身份验证或加密设置,则该设置将不会更改。