Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon MSK 控件

这些控件与 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[MSK.1] MSK 集群应在代理节点之间传输时进行加密

相关要求：NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)。

类别:保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::MSK::Cluster

Amazon Config 规则：msk-in-cluster-node-require-tls

计划类型：已触发变更

参数：无

它控制检查 Amazon MSK 集群在传输过程中是否在集群的代理节点之间使用 HTTPS (TLS) 进行加密。如果为集群代理节点连接启用了纯文本通信，则控制失败。

HTTPS 提供了额外的安全层，因为它使用 TLS 来移动数据，可用于帮助防止潜在的攻击者使用 person-in-the-middle 或类似的攻击来窃听或操纵网络流量。默认情况下，Amazon MSK 使用 TLS 对传输中数据进行加密。但是，您可以在创建集群时覆盖此默认值。对于代理节点连接，我们建议使用通过 HTTPS (TLS) 的加密连接。

修复

要更新 MSK 集群的加密设置，请参阅 适用于 Apache Kafka 的 Amazon Managed Streaming 开发人员指南中的更新集群的安全设置。

[MSK.2] MSK 集群应配置增强型监控

相关要求：NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2。

类别：检测 > 检测服务

严重性：低

资源类型：AWS::MSK::Cluster

Amazon Config 规则：msk-enhanced-monitoring-enabled

计划类型：已触发变更

参数：无

此控件检查 Amazon MSK 集群是否配置了增强型监控，且监控级别至少指定为 PER_TOPIC_PER_BROKER。如果集群的监控级别设置为 DEFAULT 或 PER_BROKER，则控制失败。

PER_TOPIC_PER_BROKER 监控级别可以帮助您更精细地了解 MSK 集群的性能，还提供与资源利用率相关的指标，例如 CPU 和内存使用情况。这可以帮助您确定各个主题和代理的性能瓶颈和资源利用率模式。反过来，这种可见性可以优化 Kafka 代理的性能。

修复

要为 MSK 集群配置增强型监控，请完成以下步骤：

有关监控级别的更多信息，请参阅《Amazon Managed Streaming for Apache Kafka 开发人员指南》中的更新集群的安全设置。