Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Actualización de la configuración de seguridad de un clúster
Utilice esta operación de Amazon MSK para actualizar la configuración de autenticación y cifrado entre el cliente y el agente del clúster de MSK. También puede actualizar la autoridad de seguridad privada que se utiliza para firmar los certificados de autenticación TLS mutua. No puede cambiar la configuración de cifrado en el clúster (de agente a agente).
El clúster debe tener el estado ACTIVE
para que pueda actualizar la configuración de seguridad.
Si activa la autenticación mediante IAM, SASL o TLS, también debe activar el cifrado entre clientes y agentes. La tabla siguiente muestra las combinaciones posibles.
Autenticación | Opciones de cifrado entre el cliente y el agente | Cifrado entre agente y agente |
---|---|---|
Unauthenticated | TLS, PLAINTEXT, TLS_PLAINTEXT | Puede estar activado o desactivado. |
mTLS | TLS, TLS_PLAINTEXT | Debe estar activado. |
SASL/SCRAM | TLS | Debe estar activado. |
SASL/IAM | TLS | Debe estar activado. |
Cuando el cifrado entre cliente y agente está establecido en TLS_PLAINTEXT
y la autenticación de cliente en mTLS
, Amazon MSK crea dos tipos de oyentes a los que los clientes se conectan: uno para que los clientes se conecten mediante la autenticación mTLS con cifrado TLS y otro para que los clientes se conecten sin autenticación ni cifrado (texto no cifrado).
Para más información sobre la configuración de seguridad, consulte Seguridad en Amazon Managed Streaming para Apache Kafka.
Actualizar la configuración de seguridad de un clúster mediante AWS Management Console
Abra la consola de Amazon MSK en https://console.aws.amazon.com/msk/
. -
Elija el clúster de MSK que quiere actualizar.
-
En la sección Configuración de seguridad, elija Editar.
-
Elija la configuración de autenticación y cifrado que quiere para el clúster y, luego, elija Guardar cambios.
Actualizar la configuración de seguridad de un clúster mediante el AWS CLI
-
Cree un archivo JSON que contenga la configuración de cifrado que quiere que tenga el clúster. A continuación, se muestra un ejemplo.
nota
Solo puede actualizar la configuración de cifrado entre el cliente y el agente. No puede actualizar la configuración de cifrado dentro del clúster (de agente a agente).
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
Cree un archivo JSON que contenga la configuración de autenticación que quiere que tenga el clúster. A continuación, se muestra un ejemplo.
{"Sasl":{"Scram":{"Enabled":true}}}
Ejecute el siguiente AWS CLI comando:
aws kafka update-security --cluster-arn
ClusterArn
--current-versionCurrent-Cluster-Version
--client-authentication file://Path-to-Authentication-Settings-JSON-File
--encryption-info file://Path-to-Encryption-Settings-JSON-File
El resultado de esta operación
update-security
se parece al siguiente JSON.{ "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" }
-
Para ver el estado de la
update-security
operación, ejecute el siguiente comando yClusterOperationsustituya Arn
por el ARN que obtuvo en el resultado delupdate-security
comando.aws kafka describe-cluster-operation --cluster-operation-arn
ClusterOperationArn
El resultado de este comando
describe-cluster-operation
tendrá un aspecto similar al siguiente.{ "ClusterOperationInfo": { "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2021-09-17T02:35:47.753000+00:00", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "PENDING", "OperationType": "UPDATE_SECURITY", "SourceClusterInfo": {}, "TargetClusterInfo": {} } }
Si
OperationState
tiene el valorPENDING
oUPDATE_IN_PROGRESS
, espere un poco y vuelva a ejecutar el comandodescribe-cluster-operation
.
Actualización de la configuración de seguridad de un clúster mediante la API
Para actualizar la configuración de seguridad de un clúster mediante la API, consulte. UpdateSecurity
nota
Las operaciones AWS CLI y la API para actualizar la configuración de seguridad de un clúster son idempotentes. Esto significa que si invoca la operación de actualización de seguridad y especifica una configuración de autenticación o cifrado que sea la misma que tiene el clúster actualmente, esa configuración no cambiará.