Amazon MSK 加密入门 - Amazon Managed Streaming for Apache Kafka
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon MSK 加密入门

创建 MSK 集群时,您可以使用 JSON 格式指定加密设置。示例如下:

{ "EncryptionAtRest": { "DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/abcdabcd-1234-abcd-1234-abcd123e8e8e" }, "EncryptionInTransit": { "InCluster": true, "ClientBroker": "TLS" } }

对于 DataVolumeKMSKeyId,您可以为账户 (alias/aws/kafka) 中的 MSK 指定客户托管密钥或 Amazon 托管式密钥。如果您没有指定 EncryptionAtRest,Amazon MSK 仍会在 Amazon 托管式密钥 下对静态数据进行加密。要确定您的集群使用的密钥,请发送 GET 请求或调用 DescribeCluster API 操作。

对于 EncryptionInTransitInCluster 的默认值为 true,但是如果您不想在代理之间传递数据时让 Amazon MSK 加密数据,则可以将此项设置为 false。

要为客户端和代理之间传输的数据指定加密模式,请将 ClientBroker 设置为以下三个值之一:TLSTLS_PLAINTEXTPLAINTEXT