Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktualisieren der Sicherheitseinstellungen eines Clusters
Verwenden Sie diesen MSK Amazon-Vorgang, um die Authentifizierungs- und Client-Broker-Verschlüsselungseinstellungen Ihres MSK Clusters zu aktualisieren. Sie können auch die Private Security Authority aktualisieren, die zum Signieren von Zertifikaten für die gegenseitige TLS Authentifizierung verwendet wird. Sie können die clusterinterne Verschlüsselungseinstellung (broker-to-broker) nicht ändern.
Der Cluster muss sich in dem Status ACTIVE
befinden, damit Sie seine Sicherheitseinstellungen aktualisieren können.
Wenn Sie die Authentifizierung mitIAM, oder TLS aktivierenSASL, müssen Sie auch die Verschlüsselung zwischen Clients und Brokern aktivieren. Die folgende Tabelle zeigt die möglichen Kombinationen.
Authentifizierung | Verschlüsselungsoptionen für Client-Broker | Broker-Broker-Verschlüsselung |
---|---|---|
Nicht authentifiziert | TLS, PLAINTEXT, TLS_PLAINTEXT | Kann Ein oder Aus sein. |
m TLS | TLS, TLS_PLAINTEXT | Muss Ein sein. |
SASL/SCRAM | TLS | Muss Ein sein. |
SASL/IAM | TLS | Muss Ein sein. |
Wenn die Client-Broker-Verschlüsselung auf TLS_PLAINTEXT
und die Client-Authentifizierung auf eingestellt ist, MSK erstellt Amazon zwei Arten von ListenernmTLS
, mit denen sich Clients verbinden können: einen Listener, mit dem sich Clients mithilfe der TLS M-Authentifizierung mit TLS Verschlüsselung verbinden können, und einen anderen, für Clients, die sich ohne Authentifizierung oder Verschlüsselung (Klartext) verbinden können.
Weitere Informationen zu den Sicherheitseinstellungen finden Sie unter Sicherheit in Amazon Managed Streaming für Apache Kafka.
Aktualisierung der Sicherheitseinstellungen eines Clusters mithilfe der AWS Management Console
Öffnen Sie die MSK Amazon-Konsole unterhttps://console.aws.amazon.com/msk/
. -
Wählen Sie den MSK Cluster aus, den Sie aktualisieren möchten.
-
Wählen Sie im Abschnitt Sicherheitseinstellungen die Option Bearbeiten.
-
Wählen Sie die gewünschten Authentifizierungs- und Verschlüsselungseinstellungen für den Cluster aus danach Änderungen speichern.
Aktualisierung der Sicherheitseinstellungen eines Clusters mithilfe der AWS CLI
-
Erstellen Sie eine JSON Datei, die die Verschlüsselungseinstellungen enthält, die der Cluster haben soll. Im Folgenden wird ein Beispiel gezeigt.
Anmerkung
Sie können nur die Client-Broker-Verschlüsselungseinstellung aktualisieren. Sie können die clusterinterne Verschlüsselungseinstellung (broker-to-broker) nicht aktualisieren.
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
Erstellen Sie eine JSON Datei, die die Authentifizierungseinstellungen enthält, die der Cluster haben soll. Im Folgenden wird ein Beispiel gezeigt.
{"Sasl":{"Scram":{"Enabled":true}}}
Führen Sie den folgenden AWS CLI Befehl aus:
aws kafka update-security --cluster-arn
ClusterArn
--current-versionCurrent-Cluster-Version
--client-authentication file://Path-to-Authentication-Settings-JSON-File
--encryption-info file://Path-to-Encryption-Settings-JSON-File
Die Ausgabe dieser
update-security
Operation sieht wie folgt ausJSON.{ "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" }
-
Um den Status des
update-security
Vorgangs zu überprüfen, führen Sie den folgenden Befehl aus und ersetzen SieClusterOperationArn
mit demARN, was Sie in der Ausgabe desupdate-security
Befehls erhalten haben.aws kafka describe-cluster-operation --cluster-operation-arn
ClusterOperationArn
Die Ausgabe dieses
describe-cluster-operation
Befehls sieht wie das folgende JSON Beispiel aus.{ "ClusterOperationInfo": { "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2021-09-17T02:35:47.753000+00:00", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "PENDING", "OperationType": "UPDATE_SECURITY", "SourceClusterInfo": {}, "TargetClusterInfo": {} } }
Wenn
OperationState
den WertPENDING
oderUPDATE_IN_PROGRESS
aufweist, warten Sie eine Weile, bevor Sie den Befehldescribe-cluster-operation
erneut ausführen.
Aktualisierung der Sicherheitseinstellungen eines Clusters mithilfe der API
Informationen zum Aktualisieren der Sicherheitseinstellungen für einen Cluster mithilfe von finden Sie unter UpdateSecurity. API
Anmerkung
Die AWS CLI API Operationen zum Aktualisieren der Sicherheitseinstellungen eines Clusters sind idempotent. Das heißt, wenn Sie das Sicherheitsupdate aufrufen und eine Authentifizierungs- oder Verschlüsselungseinstellung angeben, die der aktuellen Einstellung des Clusters entspricht, ändert sich diese Einstellung nicht.