Configurar a SASL/SCRAM autenticação para um cluster Amazon MSK - Amazon Managed Streaming for Apache Kafka

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar a SASL/SCRAM autenticação para um cluster Amazon MSK

Para configurar um segredo no AWS Secrets Manager, siga o tutorial Criando e recuperando um segredo no Guia do usuário do AWS Secrets Manager.

Observe os seguintes requisitos ao criar um segredo para um cluster do Amazon MSK:

  • Escolha Outros tipos de segredos (p. ex., chave de API) para o tipo de segredo.

  • O nome do segredo deve começar com o prefixo AmazonMSK_.

  • Você deve usar uma AWS KMS chave personalizada existente ou criar uma nova AWS KMS chave personalizada para seu segredo. O Secrets Manager usa a AWS KMS chave padrão para um segredo por padrão.

    Importante

    Um segredo criado com a AWS KMS chave padrão não pode ser usado com um cluster Amazon MSK.

  • Seus dados de credencial de acesso devem estar no formato a seguir para que seja possível inserir pares de valor/chave usando a opção Texto simples.

    {
  "username": "alice",
  "password": "alice-secret"
}

  • Registre o valor do ARN (nome do recurso da Amazon) do seu segredo.

  • Importante

    Você não pode associar um segredo do Secrets Manager a um cluster que exceda os limites descritos em Dimensione seu cluster adequadamente: número de partições por agente padrão.

  • Se você usar o AWS CLI para criar o segredo, especifique um ID de chave ou ARN para o kms-key-id parâmetro. Não especifique um alias.

  • Para associar o segredo ao seu cluster, use o console Amazon MSK ou a BatchAssociateScramSecretoperação.

    Importante

    Quando você associa um segredo a um cluster, o Amazon MSK anexa uma política de recursos ao segredo, permitindo que seu cluster acesse e leia os valores secretos que você definiu. Você não deve modificar essa política de recursos. Isso pode impedir que seu cluster acesse seu segredo. Se você fizer alguma alteração na política de recursos de segredos e/ou na chave KMS usada para criptografia secreta, certifique-se de associar novamente os segredos ao seu cluster MSK. Isso garantirá que seu cluster possa continuar acessando seu segredo.

    O exemplo de entrada JSON a seguir para a operação BatchAssociateScramSecret associa um segredo a um cluster:

    {
  "clusterArn" : "arn:aws:kafka:us-west-2:0123456789019:cluster/SalesCluster/abcd1234-abcd-cafe-abab-9876543210ab-4",          
  "secretArnList": [
    "arn:aws:secretsmanager:us-west-2:0123456789019:secret:AmazonMSK_MyClusterSecret"
  ]
}