Amazon MSK 加密入门
创建 MSK 集群时,您可以使用 JSON 格式指定加密设置。示例如下:
{ "EncryptionAtRest": { "DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/abcdabcd-1234-abcd-1234-abcd123e8e8e" }, "EncryptionInTransit": { "InCluster": true, "ClientBroker": "TLS" } }
对于 DataVolumeKMSKeyId
,您可以为账户 (alias/aws/kafka
) 中的 MSK 指定客户托管密钥或 Amazon 托管式密钥。如果您没有指定 EncryptionAtRest
,Amazon MSK 仍会在 Amazon 托管式密钥 下对静态数据进行加密。要确定您的集群使用的密钥,请发送 GET
请求或调用 DescribeCluster
API 操作。
对于 EncryptionInTransit
,InCluster
的默认值为 true,但是如果您不想在代理之间传递数据时让 Amazon MSK 加密数据,则可以将此项设置为 false。
要为客户端和代理之间传输的数据指定加密模式,请将 ClientBroker
设置为以下三个值之一:TLS
、TLS_PLAINTEXT
或 PLAINTEXT
。