Mise à jour des paramètres de sécurité d'un cluster - Amazon Managed Streaming for Apache Kafka
Mettre à jour les paramètres de sécurité d'un cluster à l'aide du AWS Management ConsoleMettre à jour les paramètres de sécurité d'un cluster à l'aide du AWS CLIMise à jour des paramètres de sécurité d'un cluster à l'aide de l'API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise à jour des paramètres de sécurité d'un cluster

Utilisez cette opération Amazon MSK pour mettre à jour les paramètres d'authentification et de chiffrement client-agent de votre cluster MSK. Vous pouvez également mettre à jour l'autorité de sécurité privée utilisée pour signer les certificats pour l'authentification TLS mutuelle. Vous ne pouvez pas modifier le paramètre de chiffrement intégré au cluster (agent à agent).

Le cluster doit être dans l'état ACTIVE pour que vous puissiez mettre à jour ses paramètres de sécurité.

Si vous activez l'authentification via IAM, SASL ou TLS, vous devez également activer le chiffrement entre les clients et les agents. Le tableau suivant présente les combinaisons possibles.

Authentification Options de chiffrement client-agent Chiffrement agent-agent
Unauthenticated TLS, PLAINTEXT, TLS_PLAINTEXT Peut être activé ou désactivé.
mTLS TLS, TLS_PLAINTEXT Doit être activé.
SASL/SCRAM TLS Doit être activé.
SASL/IAM TLS Doit être activé.

Lorsque le chiffrement client-agent est défini sur TLS_PLAINTEXT et que l'authentification client est définie sur mTLS, Amazon MSK crée deux types d'écouteurs auxquels les clients peuvent se connecter : un écouteur permettant aux clients de se connecter à l'aide de l'authentification mTLS avec chiffrement TLS, et un autre permettant aux clients de se connecter sans authentification ni chiffrement (texte en clair).

Pour plus d'informations sur les paramètres de sécurité, consultez la section Sécurité dans Amazon Managed Streaming for Apache Kafka.

Mettre à jour les paramètres de sécurité d'un cluster à l'aide du AWS Management Console

  1. Ouvrez la console Amazon MSK à l'adresse https://console.aws.amazon.com/msk/.

  2. Choisissez le cluster MSK que vous voulez mettre à jour.

  3. Dans la section Paramètres, choisissez Modifier.

  4. Choisissez les paramètres d'authentification et de chiffrement que vous souhaitez pour le cluster, puis sélectionnez Enregistrer les modifications.

Mettre à jour les paramètres de sécurité d'un cluster à l'aide du AWS CLI

  1. Créez un fichier JSON qui contient les paramètres de chiffrement que vous souhaitez attribuer au cluster. Voici un exemple.

    Note

    Vous pouvez uniquement mettre à jour le paramètre de chiffrement client-agent. Vous ne pouvez pas mettre à jour le paramètre de chiffrement intégré au cluster (agent à agent).

    {"EncryptionInTransit":{"ClientBroker": "TLS"}}

  2. Créez un fichier JSON qui contient les paramètres d'authentification que vous souhaitez attribuer au cluster. Voici un exemple.

    {"Sasl":{"Scram":{"Enabled":true}}}

  3. Exécutez la AWS CLI commande suivante :

    aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

    La sortie de cette opération update-security ressemble au JSON suivant.

    {
    
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}

  4. Pour connaître l'état de l'update-securityopération, exécutez la commande suivante en remplaçant ClusterOperationArn par l'ARN que vous avez obtenu dans le résultat de la update-security commande.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    La sortie de cette commande describe-cluster-operation ressemble à l'exemple JSON suivant.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2021-09-17T02:35:47.753000+00:00",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "PENDING",
        "OperationType": "UPDATE_SECURITY",
        "SourceClusterInfo": {},
        "TargetClusterInfo": {}
    }
}

    Si OperationState a la valeur PENDING ou UPDATE_IN_PROGRESS, attendez un moment, puis exécutez à nouveau la commande describe-cluster-operation.

Mise à jour des paramètres de sécurité d'un cluster à l'aide de l'API

Pour mettre à jour les paramètres de sécurité d'un cluster à l'aide de l'API, consultez UpdateSecurity.

Note

Les opérations d'API AWS CLI et destinées à mettre à jour les paramètres de sécurité d'un cluster sont idempotentes. Cela signifie que si vous invoquez l'opération de mise à jour de sécurité et que vous spécifiez un paramètre d'authentification ou de chiffrement identique à celui du cluster, ce paramètre ne changera pas.