クラスターのセキュリティ設定の更新 - Amazon Managed Streaming for Apache Kafka
を使用したクラスターのセキュリティ設定の更新 AWS Management Consoleを使用したクラスターのセキュリティ設定の更新 AWS CLIAPI を使用したクラスターのセキュリティ設定の更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クラスターのセキュリティ設定の更新

この Amazon MSK オペレーションでは、お客様の MSK クラスターにおける認証とクライアントブローカーの暗号化設定を更新することができます。また、相互 TLS 認証の証明書への署名に使用するプライベートセキュリティ認証を更新することもできます。クラスター内 (ブローカー間) 暗号化の設定は変更できません。

セキュリティ設定を更新するには、クラスターは ACTIVE 状態である必要があります。

IAM、SASL、または TLS を使用して認証をオンにする場合は、クライアントとブローカーの間の暗号化も有効にする必要があります。次の表に、考えられる組み合わせを示します。

認証 クライアントとブローカー間の暗号化オプション ブローカー間の暗号化
未認証 TLS、PLAINTEXT、TLS_PLAINTEXT オンでもオフでも可。
mTLS TLS、TLS_PLAINTEXT オンのみ可。
SASL/SCRAM TLS オンのみ可。
SASL/IAM TLS オンのみ可。

クライアント―ブローカー間の暗号化が TLS_PLAINTEXT に設定されており、クライアント認証は mTLS に設定されている場合、Amazon MSK はクライアントが接続可能な 2 種類のリスナーを作成します。一方はクライアントが TLS 暗号化で mTLS 認証を用いて接続できるリスナーで、もう一方は認証または暗号化 (プレーンテキスト) なしで接続可能なリスナーです。

セキュリティの設定についてのより詳細な情報は、「Amazon Managed Streaming for Apache Kafka のセキュリティ」を参照してください。

を使用したクラスターのセキュリティ設定の更新 AWS Management Console

  1. https://console.aws.amazon.com/msk/ で Amazon MSK コンソールを開きます。

  2. 更新する MSK クラスターを選択します。

  3. [Security settings] (セキュリティ設定) セクションで [Edit] (編集) を選択します。

  4. クラスターに必要な認証および暗号化の設定を選択し、 [Save changes] (変更の保存) を行います。

を使用したクラスターのセキュリティ設定の更新 AWS CLI

  1. クラスターに適用したい暗号化設定を含む JSON ファイルを作成します。次に例を示します。

    注記

    更新できるのは、クライアント―ブローカー間の暗号化設定のみです。クラスター内部 (ブローカー―ブローカー間) の暗号化設定を更新することはできません。

    {"EncryptionInTransit":{"ClientBroker": "TLS"}}

  2. クラスターに適用したい認証設定を含む JSON ファイルを作成します。次に例を示します。

    {"Sasl":{"Scram":{"Enabled":true}}}

  3. 次の AWS CLI コマンドを実行します。

    aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

    この update-security オペレーションの出力は、次の JSON のようになります。

    {
    
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}

  4. update-security オペレーションのステータスを確認するには、次のコマンドを実行し、ClusterOperationArnupdate-securityコマンドの出力で取得した ARN に置き換えます。

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    この describe-cluster-operation コマンドの出力は、次の JSON の例のようになります。

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2021-09-17T02:35:47.753000+00:00",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "PENDING",
        "OperationType": "UPDATE_SECURITY",
        "SourceClusterInfo": {},
        "TargetClusterInfo": {}
    }
}

    OperationState に値 PENDING または UPDATE_IN_PROGRESS がある場合、しばらく待ってから再度 describe-cluster-operation コマンドを実行します。

API を使用したクラスターのセキュリティ設定の更新

API を使用してクラスターのセキュリティ設定を更新するには、「」を参照してくださいUpdateSecurity

注記

クラスターのセキュリティ設定を更新するための AWS CLI および API オペレーションはべき等です。つまり、セキュリティ更新オペレーションを呼び出して、対象のクラスターに現在設定されているものと同じ認証または暗号化設定を指定しても、その設定は変更されません。