翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
クラスターのセキュリティ設定の更新
この Amazon MSK オペレーションでは、お客様の MSK クラスターにおける認証とクライアントブローカーの暗号化設定を更新することができます。また、相互 TLS 認証の証明書への署名に使用するプライベートセキュリティ認証を更新することもできます。クラスター内 (ブローカー間) 暗号化の設定は変更できません。
セキュリティ設定を更新するには、クラスターは ACTIVE
状態である必要があります。
IAM、SASL、または TLS を使用して認証をオンにする場合は、クライアントとブローカーの間の暗号化も有効にする必要があります。次の表に、考えられる組み合わせを示します。
認証 | クライアントとブローカー間の暗号化オプション | ブローカー間の暗号化 |
---|---|---|
未認証 | TLS、PLAINTEXT、TLS_PLAINTEXT | オンでもオフでも可。 |
mTLS | TLS、TLS_PLAINTEXT | オンのみ可。 |
SASL/SCRAM | TLS | オンのみ可。 |
SASL/IAM | TLS | オンのみ可。 |
クライアント―ブローカー間の暗号化が TLS_PLAINTEXT
に設定されており、クライアント認証は mTLS
に設定されている場合、Amazon MSK はクライアントが接続可能な 2 種類のリスナーを作成します。一方はクライアントが TLS 暗号化で mTLS 認証を用いて接続できるリスナーで、もう一方は認証または暗号化 (プレーンテキスト) なしで接続可能なリスナーです。
セキュリティの設定についてのより詳細な情報は、「Amazon Managed Streaming for Apache Kafka のセキュリティ」を参照してください。
を使用したクラスターのセキュリティ設定の更新 AWS Management Console
https://console.aws.amazon.com/msk/
で Amazon MSK コンソールを開きます。 -
更新する MSK クラスターを選択します。
-
[Security settings] (セキュリティ設定) セクションで [Edit] (編集) を選択します。
-
クラスターに必要な認証および暗号化の設定を選択し、 [Save changes] (変更の保存) を行います。
を使用したクラスターのセキュリティ設定の更新 AWS CLI
-
クラスターに適用したい暗号化設定を含む JSON ファイルを作成します。次に例を示します。
注記
更新できるのは、クライアント―ブローカー間の暗号化設定のみです。クラスター内部 (ブローカー―ブローカー間) の暗号化設定を更新することはできません。
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
クラスターに適用したい認証設定を含む JSON ファイルを作成します。次に例を示します。
{"Sasl":{"Scram":{"Enabled":true}}}
次の AWS CLI コマンドを実行します。
aws kafka update-security --cluster-arn
ClusterArn
--current-versionCurrent-Cluster-Version
--client-authentication file://Path-to-Authentication-Settings-JSON-File
--encryption-info file://Path-to-Encryption-Settings-JSON-File
この
update-security
オペレーションの出力は、次の JSON のようになります。{ "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" }
-
update-security
オペレーションのステータスを確認するには、次のコマンドを実行し、ClusterOperationArn
をupdate-security
コマンドの出力で取得した ARN に置き換えます。aws kafka describe-cluster-operation --cluster-operation-arn
ClusterOperationArn
この
describe-cluster-operation
コマンドの出力は、次の JSON の例のようになります。{ "ClusterOperationInfo": { "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2021-09-17T02:35:47.753000+00:00", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "PENDING", "OperationType": "UPDATE_SECURITY", "SourceClusterInfo": {}, "TargetClusterInfo": {} } }
OperationState
に値PENDING
またはUPDATE_IN_PROGRESS
がある場合、しばらく待ってから再度describe-cluster-operation
コマンドを実行します。
API を使用したクラスターのセキュリティ設定の更新
API を使用してクラスターのセキュリティ設定を更新するには、「」を参照してくださいUpdateSecurity。
注記
クラスターのセキュリティ設定を更新するための AWS CLI および API オペレーションはべき等です。つまり、セキュリティ更新オペレーションを呼び出して、対象のクラスターに現在設定されているものと同じ認証または暗号化設定を指定しても、その設定は変更されません。