Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiornamento delle impostazioni di sicurezza di un cluster
Utilizza questa MSK operazione Amazon per aggiornare le impostazioni di autenticazione e crittografia client-broker del tuo MSK cluster. Puoi anche aggiornare la Private Security Authority utilizzata per firmare i certificati per l'autenticazione reciprocaTLS. Non è possibile modificare l'impostazione di crittografia in-cluster (broker-to-broker).
Per poter aggiornare le impostazioni di sicurezza, il cluster deve essere nello stato ACTIVE
.
Se attivi l'autenticazione utilizzandoIAM, o SASLTLS, devi attivare anche la crittografia tra clienti e broker. La tabella di seguito riporta le possibili combinazioni.
Autenticazione | Opzioni di crittografia client-broker | Crittografia broker-broker |
---|---|---|
Unauthenticated | TLS, PLAINTEXT, TLS_PLAINTEXT | Può essere attiva o non attiva. |
m TLS | TLS, TLS_PLAINTEXT | Deve essere attiva. |
SASL/SCRAM | TLS | Deve essere attiva. |
SASL/IAM | TLS | Deve essere attiva. |
Quando la crittografia client-broker è impostata su TLS_PLAINTEXT
e l'autenticazione client è impostata mTLS
su, Amazon MSK crea due tipi di listener a cui i client possono connettersi: un listener a cui i client possono connettersi utilizzando TLS l'autenticazione m con TLS Encryption e un altro per i client a cui connettersi senza autenticazione o crittografia (testo in chiaro).
Per ulteriori informazioni sulle impostazioni di sicurezza, consulta la sezione Sicurezza in Streaming gestito da Amazon per Apache Kafka.
Aggiornamento delle impostazioni di sicurezza di un cluster utilizzando AWS Management Console
Apri la MSK console Amazon all'indirizzohttps://console.aws.amazon.com/msk/
. -
Scegli il MSK cluster che desideri aggiornare.
-
Nella sezione Impostazioni di sicurezza, scegli Modifica.
-
Scegli le impostazioni di autenticazione e crittografia che desideri per il cluster, quindi seleziona Salva modifiche.
Aggiornamento delle impostazioni di sicurezza di un cluster utilizzando il AWS CLI
-
Crea un JSON file che contenga le impostazioni di crittografia che desideri assegnare al cluster. Di seguito è riportato un esempio.
Nota
È possibile aggiornare solo l'impostazione di crittografia client-broker. Non è possibile aggiornare l'impostazione di crittografia in-cluster (broker-to-broker).
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
Crea un JSON file che contenga le impostazioni di autenticazione che desideri assegnare al cluster. Di seguito è riportato un esempio.
{"Sasl":{"Scram":{"Enabled":true}}}
Esegui il AWS CLI comando seguente:
aws kafka update-security --cluster-arn
ClusterArn
--current-versionCurrent-Cluster-Version
--client-authentication file://Path-to-Authentication-Settings-JSON-File
--encryption-info file://Path-to-Encryption-Settings-JSON-File
L'output di questa
update-security
operazione è simile al seguenteJSON.{ "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" }
-
Per visualizzare lo stato dell'
update-security
operazione, esegui il comando seguente, sostituendoClusterOperationArn
con ARN quello ottenuto nell'output delupdate-security
comando.aws kafka describe-cluster-operation --cluster-operation-arn
ClusterOperationArn
L'output di questo
describe-cluster-operation
comando è simile all'JSONesempio seguente.{ "ClusterOperationInfo": { "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2021-09-17T02:35:47.753000+00:00", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "PENDING", "OperationType": "UPDATE_SECURITY", "SourceClusterInfo": {}, "TargetClusterInfo": {} } }
Se il valore di
OperationState
èPENDING
oppureUPDATE_IN_PROGRESS
, attendi qualche minuto, quindi esegui nuovamente il comandodescribe-cluster-operation
.
Aggiornamento delle impostazioni di sicurezza di un cluster utilizzando il API
Per aggiornare le impostazioni di sicurezza per un cluster utilizzando ilAPI, vedere UpdateSecurity.
Nota
Le API operazioni AWS CLI e le operazioni per l'aggiornamento delle impostazioni di sicurezza di un cluster sono idempotenti. Ciò significa che se si richiama l'operazione di aggiornamento della sicurezza e si specifica un'impostazione di autenticazione o crittografia uguale a quella attualmente utilizzata dal cluster, tale impostazione non verrà modificata.