Aktualisierung der Sicherheitseinstellungen eines Clusters mithilfe der AWS Management Console Aktualisierung der Sicherheitseinstellungen eines Clusters mithilfe der AWS CLI Aktualisierung der Sicherheitseinstellungen eines Clusters mithilfe der API

Aktualisieren der Sicherheitseinstellungen eines Clusters

Verwenden Sie diesen MSK Amazon-Vorgang, um die Authentifizierungs- und Client-Broker-Verschlüsselungseinstellungen Ihres MSK Clusters zu aktualisieren. Sie können auch die Private Security Authority aktualisieren, die zum Signieren von Zertifikaten für die gegenseitige TLS Authentifizierung verwendet wird. Sie können die clusterinterne Verschlüsselungseinstellung (broker-to-broker) nicht ändern.

Der Cluster muss sich in dem Status ACTIVE befinden, damit Sie seine Sicherheitseinstellungen aktualisieren können.

Wenn Sie die Authentifizierung mitIAM, oder TLS aktivierenSASL, müssen Sie auch die Verschlüsselung zwischen Clients und Brokern aktivieren. Die folgende Tabelle zeigt die möglichen Kombinationen.

Authentifizierung	Verschlüsselungsoptionen für Client-Broker	Broker-Broker-Verschlüsselung
Nicht authentifiziert	TLS, PLAINTEXT, TLS_PLAINTEXT	Kann Ein oder Aus sein.
m TLS	TLS, TLS_PLAINTEXT	Muss Ein sein.
SASL/SCRAM	TLS	Muss Ein sein.
SASL/IAM	TLS	Muss Ein sein.

Wenn die Client-Broker-Verschlüsselung auf TLS_PLAINTEXT und die Client-Authentifizierung auf eingestellt ist, MSK erstellt Amazon zwei Arten von ListenernmTLS, mit denen sich Clients verbinden können: einen Listener, mit dem sich Clients mithilfe der TLS M-Authentifizierung mit TLS Verschlüsselung verbinden können, und einen anderen, für Clients, die sich ohne Authentifizierung oder Verschlüsselung (Klartext) verbinden können.

Weitere Informationen zu den Sicherheitseinstellungen finden Sie unter Sicherheit in Amazon Managed Streaming für Apache Kafka.

Aktualisierung der Sicherheitseinstellungen eines Clusters mithilfe der AWS Management Console

Öffnen Sie die MSK Amazon-Konsole unterhttps://console.aws.amazon.com/msk/.
Wählen Sie den MSK Cluster aus, den Sie aktualisieren möchten.
Wählen Sie im Abschnitt Sicherheitseinstellungen die Option Bearbeiten.
Wählen Sie die gewünschten Authentifizierungs- und Verschlüsselungseinstellungen für den Cluster aus danach Änderungen speichern.

Aktualisierung der Sicherheitseinstellungen eines Clusters mithilfe der AWS CLI

Erstellen Sie eine JSON Datei, die die Verschlüsselungseinstellungen enthält, die der Cluster haben soll. Im Folgenden wird ein Beispiel gezeigt.

Anmerkung
Sie können nur die Client-Broker-Verschlüsselungseinstellung aktualisieren. Sie können die clusterinterne Verschlüsselungseinstellung (broker-to-broker) nicht aktualisieren.
```
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
```
Erstellen Sie eine JSON Datei, die die Authentifizierungseinstellungen enthält, die der Cluster haben soll. Im Folgenden wird ein Beispiel gezeigt.
```
{"Sasl":{"Scram":{"Enabled":true}}}
```

Führen Sie den folgenden AWS CLI Befehl aus:


aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

Die Ausgabe dieser update-security Operation sieht wie folgt ausJSON.


{
    
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}

Um den Status des update-security Vorgangs zu überprüfen, führen Sie den folgenden Befehl aus und ersetzen Sie ClusterOperationArn mit demARN, was Sie in der Ausgabe des update-security Befehls erhalten haben.


aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

Die Ausgabe dieses describe-cluster-operation Befehls sieht wie das folgende JSON Beispiel aus.


{
    "ClusterOperationInfo": {
        "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2021-09-17T02:35:47.753000+00:00",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "PENDING",
        "OperationType": "UPDATE_SECURITY",
        "SourceClusterInfo": {},
        "TargetClusterInfo": {}
    }
}

Wenn OperationState den Wert PENDING oder UPDATE_IN_PROGRESS aufweist, warten Sie eine Weile, bevor Sie den Befehl describe-cluster-operation erneut ausführen.

Aktualisierung der Sicherheitseinstellungen eines Clusters mithilfe der API

Informationen zum Aktualisieren der Sicherheitseinstellungen für einen Cluster mithilfe von finden Sie unter UpdateSecurity. API

Anmerkung

Die AWS CLI API Operationen zum Aktualisieren der Sicherheitseinstellungen eines Clusters sind idempotent. Das heißt, wenn Sie das Sicherheitsupdate aufrufen und eine Authentifizierungs- oder Verschlüsselungseinstellung angeben, die der aktuellen Einstellung des Clusters entspricht, ändert sich diese Einstellung nicht.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Entfernen Sie einen Broker

Neustarten eines Brokers für einen Cluster