Actualización de la configuración de seguridad de un clúster - Amazon Managed Streaming for Apache Kafka
Actualizar la configuración de seguridad de un clúster mediante AWS Management ConsoleActualizar la configuración de seguridad de un clúster mediante AWS CLIActualización de la configuración de seguridad de un clúster mediante la API

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de la configuración de seguridad de un clúster

Utilice esta operación de Amazon MSK para actualizar la configuración de autenticación y cifrado entre el cliente y el agente del clúster de MSK. También puede actualizar la autoridad de seguridad privada que se utiliza para firmar los certificados de autenticación TLS mutua. No puede cambiar la configuración de cifrado integrada en el clúster (broker-to-broker).

El clúster debe tener el estado ACTIVE para que pueda actualizar la configuración de seguridad.

Si activa la autenticación mediante IAM, SASL o TLS, también debe activar el cifrado entre clientes y agentes. La tabla siguiente muestra las combinaciones posibles.

Autenticación Opciones de cifrado entre el cliente y el agente Cifrado entre agente y agente
Unauthenticated TLS, PLAINTEXT, TLS_PLAINTEXT Puede estar activado o desactivado.
mTLS TLS, TLS_PLAINTEXT Debe estar activado.
SASL/SCRAM TLS Debe estar activado.
SASL/IAM TLS Debe estar activado.

Cuando el cifrado entre cliente y agente está establecido en TLS_PLAINTEXT y la autenticación de cliente en mTLS, Amazon MSK crea dos tipos de oyentes a los que los clientes se conectan: uno para que los clientes se conecten mediante la autenticación mTLS con cifrado TLS y otro para que los clientes se conecten sin autenticación ni cifrado (texto no cifrado).

Para más información sobre la configuración de seguridad, consulte Seguridad en Amazon Managed Streaming para Apache Kafka.

Actualizar la configuración de seguridad de un clúster mediante AWS Management Console

  1. Abra la consola de Amazon MSK en https://console.aws.amazon.com/msk/.

  2. Elija el clúster de MSK que quiere actualizar.

  3. En la sección Configuración de seguridad, elija Editar.

  4. Elija la configuración de autenticación y cifrado que quiere para el clúster y, luego, elija Guardar cambios.

Actualizar la configuración de seguridad de un clúster mediante AWS CLI

  1. Cree un archivo JSON que contenga la configuración de cifrado que quiere que tenga el clúster. A continuación, se muestra un ejemplo.

    nota

    Solo puede actualizar la configuración de cifrado entre el cliente y el agente. No puedes actualizar la configuración de cifrado integrada en el clúster (broker-to-broker).

    {"EncryptionInTransit":{"ClientBroker": "TLS"}}

  2. Cree un archivo JSON que contenga la configuración de autenticación que quiere que tenga el clúster. A continuación, se muestra un ejemplo.

    {"Sasl":{"Scram":{"Enabled":true}}}

  3. Ejecute el siguiente AWS CLI comando:

    aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

    El resultado de esta operación update-security se parece al siguiente JSON.

    {
    
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}

  4. Para ver el estado de la update-security operación, ejecute el siguiente comando y ClusterOperationArnsustitúyalo por el ARN que obtuvo en el resultado del update-security comando.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    El resultado de este comando describe-cluster-operation tendrá un aspecto similar al siguiente.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2021-09-17T02:35:47.753000+00:00",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "PENDING",
        "OperationType": "UPDATE_SECURITY",
        "SourceClusterInfo": {},
        "TargetClusterInfo": {}
    }
}

    Si OperationState tiene el valor PENDING o UPDATE_IN_PROGRESS, espere un poco y vuelva a ejecutar el comando describe-cluster-operation.

Actualización de la configuración de seguridad de un clúster mediante la API

Para actualizar la configuración de seguridad de un clúster mediante la API, consulte UpdateSecurity.

nota

Las operaciones AWS CLI y la API para actualizar la configuración de seguridad de un clúster son idempotentes. Esto significa que si invoca la operación de actualización de seguridad y especifica una configuración de autenticación o cifrado que sea la misma que tiene el clúster actualmente, esa configuración no cambiará.