기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
상호 TLS 인증
애플리케이션에서 Amazon MSK 브로커 및 노드로의 연결에 대해 TLS를 통한 클라이언트 인증을 활성화할 수 있습니다. ZooKeeper 클라이언트 인증을 사용하려면 AWS Private CA가 필요합니다. 클러스터와 AWS 계정 동일하거나 다른 계정에 있을 AWS Private CA 수 있습니다. AWS Private CA s에 대한 자세한 내용은 a 생성 및 관리를 참조하십시오 AWS Private CA.
참고
현재 베이징 및 닝샤 지역에서는 TLS 인증을 사용할 수 없습니다.
Amazon MSK는 인증서 해지 목록(CRL)을 지원하지 않습니다. 클러스터 주제에 대한 액세스를 제어하거나 손상된 인증서를 차단하려면 Apache Kafka ACL 및 보안 그룹을 사용하십시오. AWS Apache Kafka ACL 사용에 대한 자세한 내용은 Apache Kafka ACL 섹션을 참조하세요.
이 주제는 다음 섹션을 포함하고 있습니다.
클라이언트 인증을 지원하는 클러스터를 생성하려면
이 절차는 a를 사용하여 클라이언트 인증을 활성화하는 방법을 보여줍니다. AWS Private CA
참고
상호 TLS를 사용하여 액세스를 제어할 때는 각 MSK AWS Private CA 클러스터에 대해 독립적으로 사용하는 것이 좋습니다. 이렇게 하면 PCA가 서명한 TLS 인증서는 단일 MSK 클러스터에서만 인증됩니다.
-
다음 콘텐츠를 가진
clientauthinfo.json
이라는 파일을 생성합니다:Private-CA-ARN
을 PCA의 ARN으로 바꿉니다.{ "Tls": { "CertificateAuthorityArnList": ["
Private-CA-ARN
"] } } -
를 사용하여 클러스터 생성 AWS CLI에 설명된 대로
brokernodegroupinfo.json
파일을 생성합니다. -
클라이언트 인증을 사용하려면 클라이언트와 브로커 간 전송 중 암호화를 활성화해야 합니다. 다음 콘텐츠를 가진
encryptioninfo.json
이라는 파일을 생성합니다:KMS-Key-ARN
을 KMS 키의 ARN으로 바꿉니다.ClientBroker
를TLS
또는TLS_PLAINTEXT
로 설정할 수 있습니다.{ "EncryptionAtRest": { "DataVolumeKMSKeyId": "
KMS-Key-ARN
" }, "EncryptionInTransit": { "InCluster": true, "ClientBroker": "TLS" } }암호화에 대한 자세한 내용은 Amazon MSK 암호화 섹션을 참조하세요.
-
AWS CLI 설치된 시스템에서 다음 명령을 실행하여 인증 및 전송 중 암호화가 활성화된 클러스터를 생성합니다. 응답에 제공된 클러스터 ARN을 저장합니다.
aws kafka create-cluster --cluster-name "AuthenticationTest" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --client-authentication file://clientauthinfo.json --kafka-version "
{YOUR KAFKA VERSION}
" --number-of-broker-nodes 3
인증을 사용하도록 클라이언트를 설정하려면
-
클라이언트 머신으로 사용할 Amazon EC2 인스턴스를 생성합니다. 간단히 하기 위해 클러스터에 사용한 것과 동일한 VPC에 이 인스턴스를 생성합니다. 이러한 클라이언트 머신을 생성하는 방법에 대한 예제는 3단계: 클라이언트 머신 생성 단원을 참조하십시오.
-
주제를 생성합니다. 예를 들어, 4단계: 주제 생성 단원의 지침을 참조하십시오.
-
AWS CLI 설치된 시스템에서 다음 명령을 실행하여 클러스터의 부트스트랩 브로커를 가져옵니다.
Cluster-ARN
을 클러스터의 ARN으로 바꿉니다.aws kafka get-bootstrap-brokers --cluster-arn
Cluster-ARN
응답에서
BootstrapBrokerStringTls
에 연결된 문자열을 저장합니다. -
클라이언트 머신에서 다음 명령을 실행하여 JVM 트러스트 스토어를 사용하여 클라이언트 트러스트 스토어를 만듭니다. JVM 경로가 다른 경우 그에 따라 명령을 조정하십시오.
cp /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.201.b09-0.amzn2.x86_64/jre/lib/security/cacerts kafka.client.truststore.jks
-
클라이언트 머신에서 다음 명령을 실행하여 클라이언트에 대한 프라이빗 키를 만듭니다.
Distinguished-Name
,Example-Alias
,Your-Store-Pass
,Your-Key-Pass
를 원하는 문자열로 바꿉니다.keytool -genkey -keystore kafka.client.keystore.jks -validity 300 -storepass
Your-Store-Pass
-keypassYour-Key-Pass
-dname "CN=Distinguished-Name
" -aliasExample-Alias
-storetype pkcs12 -
클라이언트 머신에서 다음 명령을 실행하여 이전 단계에서 만든 프라이빗 키로 인증서 요청을 만듭니다.
keytool -keystore kafka.client.keystore.jks -certreq -file client-cert-sign-request -alias
Example-Alias
-storepassYour-Store-Pass
-keypassYour-Key-Pass
-
client-cert-sign-request
파일을 열고,-----BEGIN CERTIFICATE REQUEST-----
로 시작해-----END CERTIFICATE REQUEST-----
로 끝나는지 확인합니다.-----BEGIN NEW CERTIFICATE REQUEST-----
로 시작하는 경우, 파일의 시작 부분과 끝 부분에서 단어NEW
및 그 뒤의 단일 공백을 삭제합니다. -
AWS CLI 설치된 시스템에서 다음 명령을 실행하여 인증서 요청에 서명합니다.
Private-CA-ARN
을 PCA의 ARN으로 바꿉니다. 원하는 경우 유효성 값을 변경할 수 있습니다. 여기에서는 300을 사용합니다.aws acm-pca issue-certificate --certificate-authority-arn
Private-CA-ARN
--csr fileb://client-cert-sign-request --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS"응답에 제공된 인증서 ARN을 저장합니다.
참고
클라이언트 인증서를 검색하려면
acm-pca get-certificate
명령을 사용하고 사용자 인증서 ARN을 지정합니다. 자세한 내용은 AWS CLI 명령 참조에서 get-certificate를 참조하세요. -
다음 명령을 실행하여 대신 AWS Private CA 서명한 인증서를 가져오세요.
Certificate-ARN
을 이전 명령에 대한 응답에서 얻은 ARN으로 바꿉니다.aws acm-pca get-certificate --certificate-authority-arn
Private-CA-ARN
--certificate-arnCertificate-ARN
-
이전 명령을 실행한 JSON 결과에서
Certificate
및CertificateChain
에 연결된 문자열을 복사합니다. 이 두 문자열을 이름이 지정된 새 파일에 붙여넣습니다 signed-certificate-from-acm. 우선Certificate
에 연결된 문자열을 붙여 넣은 다음,CertificateChain
와 연결된 문자열을 붙여 넣습니다.\n
문자를 새 줄로 바꿉니다. 다음은 인증서 및 인증서 체인을 붙여 넣은 이후의 파일 구조입니다.-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----
-
클라이언트 머신에서 다음 명령을 실행하여 MSK 브로커와 통신할 때 제공할 수 있도록 키 스토어에 이 인증서를 추가합니다.
keytool -keystore kafka.client.keystore.jks -import -file signed-certificate-from-acm -alias
Example-Alias
-storepassYour-Store-Pass
-keypassYour-Key-Pass
-
다음 콘텐츠를 가진
client.properties
이라는 파일을 생성합니다: 트러스트 스토어 및 키 스토어 위치를kafka.client.truststore.jks
를 저장한 경로로 조정합니다.{YOUR KAFKA VERSION}
자리 표시자를 Kafka 클라이언트 버전으로 대체합니다.security.protocol=SSL ssl.truststore.location=/tmp/kafka_2.12-
{YOUR KAFKA VERSION}
/kafka.client.truststore.jks ssl.keystore.location=/tmp/kafka_2.12-{YOUR KAFKA VERSION}
/kafka.client.keystore.jks ssl.keystore.password=Your-Store-Pass
ssl.key.password=Your-Key-Pass
인증을 사용하여 메시지를 생성하고 사용하려면
-
다음 명령을 실행해 주제를 생성합니다.
<path-to-your-kafka-installation>
/bin/kafka-topics.sh --create --zookeeperZooKeeper-Connection-String
--replication-factor 3 --partitions 1 --topic ExampleTopic -
콘솔 생산자를 시작하려면 다음 명령을 실행합니다.
client.properties
라는 파일은 이전 절차에서 생성한 파일입니다.<path-to-your-kafka-installation>
/bin/kafka-console-producer.sh --broker-listBootstrapBroker-String
--topic ExampleTopic --producer.config client.properties -
클라이언트 머신의 새 명령 창에서 다음 명령을 실행하여 콘솔 소비자를 시작합니다.
<path-to-your-kafka-installation>
/bin/kafka-console-consumer.sh --bootstrap-serverBootstrapBroker-String
--topic ExampleTopic --consumer.config client.properties -
생산자 창에 메시지를 입력하고 소비자 창에 표시되는지 확인합니다.