翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon MSK クラスターのセキュリティ設定を更新する
この Amazon MSK オペレーションでは、お客様の MSK クラスターにおける認証とクライアントブローカーの暗号化設定を更新することができます。また、相互 TLS 認証の証明書への署名に使用するプライベートセキュリティ認証を更新することもできます。クラスター内 (ブローカー間) 暗号化の設定は変更できません。
セキュリティ設定を更新するには、クラスターは ACTIVE 状態である必要があります。
IAM、SASL、または TLS を使用して認証をオンにする場合は、クライアントとブローカーの間の暗号化も有効にする必要があります。次の表に、考えられる組み合わせを示します。
| 認証 | クライアントとブローカー間の暗号化オプション | ブローカー間の暗号化 |
|---|---|---|
| 未認証 | TLS、PLAINTEXT、TLS_PLAINTEXT | オンでもオフでも可。 |
| mTLS | TLS、TLS_PLAINTEXT | オンのみ可。 |
| SASL/SCRAM | TLS | オンのみ可。 |
| SASL/IAM | TLS | オンのみ可。 |
クライアント―ブローカー間の暗号化が TLS_PLAINTEXT に設定されており、クライアント認証は mTLS に設定されている場合、Amazon MSK はクライアントが接続可能な 2 種類のリスナーを作成します。一方はクライアントが TLS 暗号化で mTLS 認証を用いて接続できるリスナーで、もう一方は認証または暗号化 (プレーンテキスト) なしで接続可能なリスナーです。
セキュリティの設定についてのより詳細な情報は、「Amazon MSK のセキュリティ」を参照してください。
