Aggiornamento delle impostazioni di sicurezza di un cluster - Amazon Managed Streaming per Apache Kafka
Aggiornamento delle impostazioni di sicurezza di un cluster utilizzando AWS Management ConsoleAggiornamento delle impostazioni di sicurezza di un cluster utilizzando il AWS CLIAggiornamento delle impostazioni di sicurezza di un cluster utilizzando il API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento delle impostazioni di sicurezza di un cluster

Utilizza questa MSK operazione Amazon per aggiornare le impostazioni di autenticazione e crittografia client-broker del tuo MSK cluster. Puoi anche aggiornare la Private Security Authority utilizzata per firmare i certificati per l'autenticazione reciprocaTLS. Non è possibile modificare l'impostazione di crittografia in-cluster (broker-to-broker).

Per poter aggiornare le impostazioni di sicurezza, il cluster deve essere nello stato ACTIVE.

Se attivi l'autenticazione utilizzandoIAM, o SASLTLS, devi attivare anche la crittografia tra clienti e broker. La tabella di seguito riporta le possibili combinazioni.

Autenticazione Opzioni di crittografia client-broker Crittografia broker-broker
Unauthenticated TLS, PLAINTEXT, TLS_PLAINTEXT Può essere attiva o non attiva.
m TLS TLS, TLS_PLAINTEXT Deve essere attiva.
SASL/SCRAM TLS Deve essere attiva.
SASL/IAM TLS Deve essere attiva.

Quando la crittografia client-broker è impostata su TLS_PLAINTEXT e l'autenticazione client è impostata mTLS su, Amazon MSK crea due tipi di listener a cui i client possono connettersi: un listener a cui i client possono connettersi utilizzando TLS l'autenticazione m con TLS Encryption e un altro per i client a cui connettersi senza autenticazione o crittografia (testo in chiaro).

Per ulteriori informazioni sulle impostazioni di sicurezza, consulta la sezione Sicurezza in Streaming gestito da Amazon per Apache Kafka.

Aggiornamento delle impostazioni di sicurezza di un cluster utilizzando AWS Management Console

  1. Apri la MSK console Amazon all'indirizzohttps://console.aws.amazon.com/msk/.

  2. Scegli il MSK cluster che desideri aggiornare.

  3. Nella sezione Impostazioni di sicurezza, scegli Modifica.

  4. Scegli le impostazioni di autenticazione e crittografia che desideri per il cluster, quindi seleziona Salva modifiche.

Aggiornamento delle impostazioni di sicurezza di un cluster utilizzando il AWS CLI

  1. Crea un JSON file che contenga le impostazioni di crittografia che desideri assegnare al cluster. Di seguito è riportato un esempio.

    Nota

    È possibile aggiornare solo l'impostazione di crittografia client-broker. Non è possibile aggiornare l'impostazione di crittografia in-cluster (broker-to-broker).

    {"EncryptionInTransit":{"ClientBroker": "TLS"}}

  2. Crea un JSON file che contenga le impostazioni di autenticazione che desideri assegnare al cluster. Di seguito è riportato un esempio.

    {"Sasl":{"Scram":{"Enabled":true}}}

  3. Esegui il AWS CLI comando seguente:

    aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

    L'output di questa update-security operazione è simile al seguenteJSON.

    {
    
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}

  4. Per visualizzare lo stato dell'update-securityoperazione, esegui il comando seguente, sostituendo ClusterOperationArn con ARN quello ottenuto nell'output del update-security comando.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    L'output di questo describe-cluster-operation comando è simile all'JSONesempio seguente.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2021-09-17T02:35:47.753000+00:00",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "PENDING",
        "OperationType": "UPDATE_SECURITY",
        "SourceClusterInfo": {},
        "TargetClusterInfo": {}
    }
}

    Se il valore di OperationState è PENDING oppure UPDATE_IN_PROGRESS, attendi qualche minuto, quindi esegui nuovamente il comando describe-cluster-operation.

Aggiornamento delle impostazioni di sicurezza di un cluster utilizzando il API

Per aggiornare le impostazioni di sicurezza per un cluster utilizzando ilAPI, vedere UpdateSecurity.

Nota

Le API operazioni AWS CLI e le operazioni per l'aggiornamento delle impostazioni di sicurezza di un cluster sono idempotenti. Ciò significa che se si richiama l'operazione di aggiornamento della sicurezza e si specifica un'impostazione di autenticazione o crittografia uguale a quella attualmente utilizzata dal cluster, tale impostazione non verrà modificata.