Memperbarui pengaturan keamanan klaster - Amazon Managed Streaming untuk Apache Kafka
Memperbarui pengaturan keamanan klaster menggunakan AWS Management ConsoleMemperbarui pengaturan keamanan klaster menggunakan AWS CLIMemperbarui setelan keamanan klaster menggunakan API

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbarui pengaturan keamanan klaster

Gunakan operasi MSK Amazon ini untuk memperbarui otentikasi dan pengaturan enkripsi pialang klien dari kluster MSK Anda. Anda juga dapat memperbarui Otoritas Keamanan Swasta yang digunakan untuk menandatangani sertifikat untuk otentikasi TLS bersama. Anda tidak dapat mengubah pengaturan enkripsi in-cluster (broker-to-broker).

Cluster harus dalam ACTIVE keadaan agar Anda dapat memperbarui pengaturan keamanannya.

Jika Anda mengaktifkan otentikasi menggunakan IAM, SASL, atau TLS, Anda juga harus mengaktifkan enkripsi antara klien dan broker. Tabel berikut menunjukkan kemungkinan kombinasi.

Autentikasi Opsi enkripsi klien-broker Enkripsi pialang-pialang
Tidak diautentikasi TLS, PLAINTEXT, TLS_PLAINTEXT Bisa on atau off.
MTL TLS, TLS_PLAINTEXT Harus di.
SASL/SCRAM TLS Harus di.
SELEMPANG/IAM TLS Harus di.

Ketika enkripsi klien-broker disetel ke TLS_PLAINTEXT dan otentikasi klien diatur ke, mTLS Amazon MSK membuat dua jenis pendengar untuk klien untuk terhubung ke: satu pendengar untuk klien untuk terhubung menggunakan otentikasi mTLS dengan Enkripsi TLS, dan satu lagi untuk klien untuk terhubung tanpa otentikasi atau enkripsi (plaintext).

Untuk informasi selengkapnya tentang setelan keamanan, lihatKeamanan di Amazon Managed Streaming for Apache Kafka.

Memperbarui pengaturan keamanan klaster menggunakan AWS Management Console

  1. Buka konsol MSK Amazon dihttps://console.aws.amazon.com/msk/.

  2. Pilih kluster MSK yang ingin Anda perbarui.

  3. Di bagian Pengaturan keamanan, pilih Edit.

  4. Pilih pengaturan otentikasi dan enkripsi yang Anda inginkan untuk cluster, lalu pilih Simpan perubahan.

Memperbarui pengaturan keamanan klaster menggunakan AWS CLI

  1. Buat file JSON yang berisi pengaturan enkripsi yang Anda inginkan untuk dimiliki cluster. Berikut adalah contohnya.

    catatan

    Anda hanya dapat memperbarui pengaturan enkripsi klien-broker. Anda tidak dapat memperbarui pengaturan enkripsi in-cluster (broker-to-broker).

    {"EncryptionInTransit":{"ClientBroker": "TLS"}}

  2. Buat file JSON yang berisi pengaturan otentikasi yang Anda inginkan untuk dimiliki cluster. Berikut adalah contohnya.

    {"Sasl":{"Scram":{"Enabled":true}}}

  3. Jalankan AWS CLI perintah berikut:

    aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

    Output dari update-security operasi ini terlihat seperti JSON berikut.

    {
    
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}

  4. Untuk melihat status update-security operasi, jalankan perintah berikut, ganti ClusterOperationArn dengan ARN yang Anda peroleh dalam output perintah. update-security

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    Output dari describe-cluster-operation perintah ini terlihat seperti contoh JSON berikut.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2021-09-17T02:35:47.753000+00:00",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "PENDING",
        "OperationType": "UPDATE_SECURITY",
        "SourceClusterInfo": {},
        "TargetClusterInfo": {}
    }
}

    Jika OperationState memiliki nilai PENDING atauUPDATE_IN_PROGRESS, tunggu sebentar, lalu jalankan describe-cluster-operation perintah lagi.

Memperbarui setelan keamanan klaster menggunakan API

Untuk memperbarui setelan keamanan klaster yang menggunakan API, lihat UpdateSecurity.

catatan

Operasi AWS CLI dan API untuk memperbarui pengaturan keamanan klaster adalah idempoten. Ini berarti bahwa jika Anda menjalankan operasi pembaruan keamanan dan menentukan pengaturan otentikasi atau enkripsi yang merupakan pengaturan yang sama dengan yang dimiliki cluster saat ini, pengaturan itu tidak akan berubah.