Atualização das configurações de segurança de um cluster - Amazon Managed Streaming for Apache Kafka
Atualizando as configurações de segurança de um cluster usando o AWS Management ConsoleAtualizando as configurações de segurança de um cluster usando o AWS CLIAtualizando as configurações de segurança de um cluster usando o API

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualização das configurações de segurança de um cluster

Use essa MSK operação da Amazon para atualizar as configurações de autenticação e criptografia cliente-agente do seu MSK cluster. Você também pode atualizar a Autoridade de Segurança Privada usada para assinar certificados para TLS autenticação mútua. Você não pode alterar a configuração de criptografia no cluster (broker-to-broker).

O cluster deve estar no estado ACTIVE para que você atualize suas configurações de segurança.

Se você ativar a autenticação usandoIAM,SASL, ouTLS, também deverá ativar a criptografia entre clientes e corretores. A tabela a seguir mostra as combinações possíveis.

Autenticação Opções de criptografia cliente-agente Criptografia agente-agente
Unauthenticated TLS, PLAINTEXT, TLS_PLAINTEXT Pode estar ativado ou desativado.
m TLS TLS, TLS_PLAINTEXT Precisa estar ativado.
SASL/SCRAM TLS Precisa estar ativado.
SASL/IAM TLS Precisa estar ativado.

Quando a criptografia cliente-agente está definida como TLS_PLAINTEXT e a autenticação do cliente está definida como, a mTLS Amazon MSK cria dois tipos de ouvintes aos quais os clientes se conectam: um ouvinte para os clientes se conectarem usando a TLS autenticação m com TLS criptografia e outro para os clientes se conectarem sem autenticação ou criptografia (texto simples).

Para obter mais informações sobre as configurações de segurança, consulte Segurança no Amazon Managed Streaming for Apache Kafka.

Atualizando as configurações de segurança de um cluster usando o AWS Management Console

  1. Abra o MSK console da Amazon emhttps://console.aws.amazon.com/msk/.

  2. Escolha o MSK cluster que você deseja atualizar.

  3. Na seção Configurações de segurança, escolha Editar.

  4. Escolha as configurações de autenticação e criptografia que deseja aplicar para o cluster e, em seguida, escolha Salvar alterações.

Atualizando as configurações de segurança de um cluster usando o AWS CLI

  1. Crie um JSON arquivo que contenha as configurações de criptografia que você deseja que o cluster tenha. Veja um exemplo a seguir.

    nota

    Você só pode atualizar a configuração de criptografia cliente-agente. Você não pode atualizar a configuração de criptografia no cluster (broker-to-broker).

    {"EncryptionInTransit":{"ClientBroker": "TLS"}}

  2. Crie um JSON arquivo que contenha as configurações de autenticação que você deseja que o cluster tenha. Veja um exemplo a seguir.

    {"Sasl":{"Scram":{"Enabled":true}}}

  3. Execute o seguinte AWS CLI comando:

    aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

    A saída dessa update-security operação é semelhante à seguinteJSON.

    {
    
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}

  4. Para ver o status da update-security operação, execute o comando a seguir, substituindo ClusterOperationArn com o ARN que você obteve na saída do update-security comando.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    A saída desse describe-cluster-operation comando se parece com o JSON exemplo a seguir.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2021-09-17T02:35:47.753000+00:00",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "PENDING",
        "OperationType": "UPDATE_SECURITY",
        "SourceClusterInfo": {},
        "TargetClusterInfo": {}
    }
}

    Se OperationState tiver o valor PENDING ou UPDATE_IN_PROGRESS, aguarde um pouco e execute o comando describe-cluster-operation novamente.

Atualizando as configurações de segurança de um cluster usando o API

Para atualizar as configurações de segurança de um cluster usando oAPI, consulte UpdateSecurity.

nota

As API operações AWS CLI e para atualizar as configurações de segurança de um cluster são idempotentes. Isso significa que se você invocar a operação de atualização de segurança e especificar uma configuração de autenticação ou criptografia que seja a mesma configuração que o cluster já tem, essa configuração não será alterada.