更新集群的安全设置 - Amazon Managed Streaming for Apache Kafka
使用更新群集的安全设置Amazon Web Services Management Console使用更新群集的安全设置Amazon CLI使用 API 更新集群的安全设置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新集群的安全设置

使用此 Amazon MSK 操作更新 MSK 集群的身份验证和客户端-代理加密设置。您还可以更新用于签署证书以进行双向 TLS 身份验证的私人安全机构。您无法更改群集内(经纪商到经纪商)加密设置。

集群必须在ACTIVE状态供您更新其安全设置。

如果您使用 IAM、SASL 或 TLS 启用身份验证,则还必须在客户端和经纪商之间启用加密。下表显示了可能的组合。

身份验证 客户-经纪商加密选项 经纪商加密
未验证身份 TLS、纯文本、TLS_纯文本 可以打开或关闭。
MTL TLS,TLS_纯文本 必须处于打开状态。
SASL/SCRAM TLS 必须处于打开状态。
SASL/IAM TLS 必须处于打开状态。

有关安全设置的更多信息,请参阅Amazon Managed Streaming for Apache Kafka 安全性.

使用更新群集的安全设置Amazon Web Services Management Console

  1. 从打开 Amazon MSK 控制台https://console.amazonaws.cn/msk/.

  2. 选择要更新的 MSK 集群。

  3. 安全设置部分,选择编辑.

  4. 选择群集所需的身份验证和加密设置,然后选择保存更改.

使用更新群集的安全设置Amazon CLI

  1. 创建包含您希望集群具有的加密设置的 JSON 文件。以下是示例。

    注意

    您只能更新客户代理加密设置。您无法更新群集内(经纪商到经纪商)加密设置。

    {"EncryptionInTransit":{"ClientBroker": "TLS"}}

  2. 创建包含您希望集群具有的身份验证设置的 JSON 文件。以下是示例。

    {"Sasl":{"Scram":{"Enabled":true}}}

  3. 运行以下 Amazon CLI 命令:

    aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

    update-security 操作的输出如以下 JSON 所示: 

    {
    
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}

  4. 要查看update-security操作中,运行以下命令,替换ClusterOperationArn使用你在输出中获得的 ARNupdate-security命令。 

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    describe-cluster-operation 命令的输出如以下 JSON 示例所示。 

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2021-09-17T02:35:47.753000+00:00",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "PENDING",
        "OperationType": "UPDATE_SECURITY",
        "SourceClusterInfo": {},
        "TargetClusterInfo": {}
    }
}

    如果OperationState有价值PENDING或者UPDATE_IN_PROGRESS,等待一段时间,然后运行describe-cluster-operation再次命令。

使用 API 更新集群的安全设置

要使用 API 更新集群的安全设置,请参阅更新安全.

注意

这些区域有:Amazon CLI而且用于更新集群安全设置的 API 操作是幂等的。这意味着,如果您调用安全更新操作并指定与群集当前具有的相同设置的身份验证或加密设置,则该设置将不会更改。