翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
この手順では、 を使用してクライアント認証を有効にする方法を示します AWS Private CA。
注記
相互 TLS を使用してアクセスを制御する場合は、MSK クラスター AWS Private CA ごとに独立した を使用することを強くお勧めします。そうすることで、PCA によって署名された TLS 証明書が単一の MSK クラスターでのみ認証されるようになります。
-
次の内容で、
clientauthinfo.jsonという名前のファイルを作成します。Private-CA-ARNを PCA の ARN に置き換えます。{ "Tls": { "CertificateAuthorityArnList": ["Private-CA-ARN"] } } -
を使用してプロビジョニングされた Amazon MSK クラスターを作成する AWS CLI の説明に従って、
brokernodegroupinfo.jsonという名前のファイルを作成します。 -
クライアント認証では、クライアントとブローカー間の転送中に暗号化を有効にする必要があります。次の内容で、
encryptioninfo.jsonという名前のファイルを作成します。KMS-Key-ARNを KMS キーの ARN と置き換えます。ClientBrokerをTLSまたはTLS_PLAINTEXTに設定できます。{ "EncryptionAtRest": { "DataVolumeKMSKeyId": "KMS-Key-ARN" }, "EncryptionInTransit": { "InCluster": true, "ClientBroker": "TLS" } }暗号化の詳細については、「Amazon MSK 暗号化」を参照してください。
-
AWS CLI がインストールされているマシンで、次のコマンドを実行して、認証と転送時の暗号化を有効にしたクラスターを作成します。レスポンスで提供されるクラスター ARN を保存します。
aws kafka create-cluster --cluster-name "AuthenticationTest" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --client-authentication file://clientauthinfo.json --kafka-version "{YOUR KAFKA VERSION}" --number-of-broker-nodes 3
