Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memperbarui pengaturan keamanan klaster
Gunakan operasi MSK Amazon ini untuk memperbarui otentikasi dan pengaturan enkripsi pialang klien dari kluster MSK Anda. Anda juga dapat memperbarui Otoritas Keamanan Swasta yang digunakan untuk menandatangani sertifikat untuk otentikasi TLS bersama. Anda tidak dapat mengubah pengaturan enkripsi in-cluster (broker-to-broker).
Cluster harus dalam ACTIVE
keadaan agar Anda dapat memperbarui pengaturan keamanannya.
Jika Anda mengaktifkan otentikasi menggunakan IAM, SASL, atau TLS, Anda juga harus mengaktifkan enkripsi antara klien dan broker. Tabel berikut menunjukkan kemungkinan kombinasi.
Autentikasi | Opsi enkripsi klien-broker | Enkripsi pialang-pialang |
---|---|---|
Tidak diautentikasi | TLS, PLAINTEXT, TLS_PLAINTEXT | Bisa on atau off. |
MTL | TLS, TLS_PLAINTEXT | Harus di. |
SASL/SCRAM | TLS | Harus di. |
SELEMPANG/IAM | TLS | Harus di. |
Ketika enkripsi klien-broker disetel ke TLS_PLAINTEXT
dan otentikasi klien diatur ke, mTLS
Amazon MSK membuat dua jenis pendengar untuk klien untuk terhubung ke: satu pendengar untuk klien untuk terhubung menggunakan otentikasi mTLS dengan Enkripsi TLS, dan satu lagi untuk klien untuk terhubung tanpa otentikasi atau enkripsi (plaintext).
Untuk informasi selengkapnya tentang setelan keamanan, lihatKeamanan di Amazon Managed Streaming for Apache Kafka.
Memperbarui pengaturan keamanan klaster menggunakan AWS Management Console
Buka konsol MSK Amazon dihttps://console.aws.amazon.com/msk/
. -
Pilih kluster MSK yang ingin Anda perbarui.
-
Di bagian Pengaturan keamanan, pilih Edit.
-
Pilih pengaturan otentikasi dan enkripsi yang Anda inginkan untuk cluster, lalu pilih Simpan perubahan.
Memperbarui pengaturan keamanan klaster menggunakan AWS CLI
-
Buat file JSON yang berisi pengaturan enkripsi yang Anda inginkan untuk dimiliki cluster. Berikut adalah contohnya.
catatan
Anda hanya dapat memperbarui pengaturan enkripsi klien-broker. Anda tidak dapat memperbarui pengaturan enkripsi in-cluster (broker-to-broker).
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
Buat file JSON yang berisi pengaturan otentikasi yang Anda inginkan untuk dimiliki cluster. Berikut adalah contohnya.
{"Sasl":{"Scram":{"Enabled":true}}}
Jalankan AWS CLI perintah berikut:
aws kafka update-security --cluster-arn
ClusterArn
--current-versionCurrent-Cluster-Version
--client-authentication file://Path-to-Authentication-Settings-JSON-File
--encryption-info file://Path-to-Encryption-Settings-JSON-File
Output dari
update-security
operasi ini terlihat seperti JSON berikut.{ "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" }
-
Untuk melihat status
update-security
operasi, jalankan perintah berikut, gantiClusterOperationArn
dengan ARN yang Anda peroleh dalam output perintah.update-security
aws kafka describe-cluster-operation --cluster-operation-arn
ClusterOperationArn
Output dari
describe-cluster-operation
perintah ini terlihat seperti contoh JSON berikut.{ "ClusterOperationInfo": { "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2021-09-17T02:35:47.753000+00:00", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "PENDING", "OperationType": "UPDATE_SECURITY", "SourceClusterInfo": {}, "TargetClusterInfo": {} } }
Jika
OperationState
memiliki nilaiPENDING
atauUPDATE_IN_PROGRESS
, tunggu sebentar, lalu jalankandescribe-cluster-operation
perintah lagi.
Memperbarui setelan keamanan klaster menggunakan API
Untuk memperbarui setelan keamanan klaster yang menggunakan API, lihat UpdateSecurity.
catatan
Operasi AWS CLI dan API untuk memperbarui pengaturan keamanan klaster adalah idempoten. Ini berarti bahwa jika Anda menjalankan operasi pembaruan keamanan dan menentukan pengaturan otentikasi atau enkripsi yang merupakan pengaturan yang sama dengan yang dimiliki cluster saat ini, pengaturan itu tidak akan berubah.