本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Managed Streaming for Apache Kafka 中的数据保护
分担责任模式 AWS [分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于适用于 Apache Kafka 的 Apache Streaming for Apache Streaming 中的数据保护。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括您 AWS 服务 使用控制台、API 或与 Amazon MSK 或其他机构 AWS CLI合作时。 AWS SDKs在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
**Topics**
+ [Amazon MSK 加密](msk-encryption.md)
+ [Amazon MSK 加密入门](msk-working-with-encryption.md)
+ [将 Amazon MSK APIs 与接口 VPC 终端节点配合使用](privatelink-vpc-endpoints.md)
# Amazon MSK 加密
Amazon MSK 提供了数据加密选项,可使用这些选项来满足严格的数据管理要求。Amazon MSK 用于加密的证书必须每 13 个月续订一次。Amazon MSK 会自动为所有集群续订这些证书。Amazon MSK 开始进行证书更新操作时,快速代理集群仍处于 `ACTIVE` 状态。对于标准代理集群,Amazon MSK 会集群在启动证书更新操作时将集群状态设置为 `MAINTENANCE`。待更新完成后,MSK 会将集群状态重新设置为 `ACTIVE`。当集群处于证书更新操作时,您可以继续生成和使用数据,但无法对数据执行任何更新操作。
## Amazon MSK 静态加密
Amazon MSK 与 [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/)(KMS)集成以提供透明的服务器端加密。Amazon MSK 始终加密您的静态数据。当创建 MSK 集群时,您可以指定您希望 Amazon MSK 用于加密静态数据的 AWS KMS key 。如果您不指定 KMS 密钥,Amazon MSK 会为您创建一个 [AWS 托管式密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) 并代表您使用它。有关 KMS 密钥的更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的 [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)。
## Amazon MSK 传输中加密
Amazon MSK 会使用 TLS 1.2。默认情况下,它会加密在 MSK 集群的代理之间传输的数据。可以在创建集群时覆盖此默认值。
对于客户端和代理之间的通信,您必须指定下列三项设置之一:
+ 仅允许 TLS 加密数据。这是默认设置。
+ 同时允许明文数据和 TLS 加密数据。
+ 仅允许明文数据。
亚马逊 MSK 经纪人使用公共 AWS Certificate Manager 证书。因此,任何信任 Amazon Trust Services 的信任库也会信任 Amazon MSK 代理的证书。
虽然我们强烈建议启用传输中加密,但它可能会增加额外的 CPU 开销和几毫秒的延迟。但是,大多数使用案例对这些差异并不敏感,影响的程度取决于集群、客户端和使用情况配置文件的配置。
# Amazon MSK 加密入门
创建 MSK 集群时,您可以使用 JSON 格式指定加密设置。示例如下:
```
{
"EncryptionAtRest": {
"DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/abcdabcd-1234-abcd-1234-abcd123e8e8e"
},
"EncryptionInTransit": {
"InCluster": true,
"ClientBroker": "TLS"
}
}
```
对于 `DataVolumeKMSKeyId`,您可以为账户 (`alias/aws/kafka`) 中的 MSK 指定[客户托管密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)或 AWS 托管式密钥 。如果您未指定`EncryptionAtRest`,Amazon MSK 仍会加密您的静态数据。 AWS 托管式密钥要确定您的集群使用的密钥,请发送 `GET` 请求或调用 `DescribeCluster` API 操作。
对于 `EncryptionInTransit`,`InCluster` 的默认值为 true,但是如果您不想在代理之间传递数据时让 Amazon MSK 加密数据,则可以将此项设置为 false。
要为客户端和代理之间传输的数据指定加密模式,请将 `ClientBroker` 设置为以下三个值之一:`TLS`、`TLS_PLAINTEXT` 或 `PLAINTEXT`。
**Topics**
+ [创建 Amazon MSK 集群时指定加密设置](msk-working-with-encryption-cluster-create.md)
+ [测试 Amazon MSK TLS 加密](msk-working-with-encryption-test-tls.md)
# 创建 Amazon MSK 集群时指定加密设置
此过程介绍了如何在创建 Amazon MSK 集群时指定加密设置。
**创建集群时指定加密设置**
1. 将上一示例的内容保存在文件中,并为该文件指定所需的任何名称。例如,将其命名为 `encryption-settings.json`。
1. 运行 `create-cluster` 命令并使用 `encryption-info` 选项指向您保存配置 JSON 的文件。示例如下:替换为*\$1YOUR MSK VERSION\$1*与 Apache Kafka 客户端版本相匹配的版本。有关如何查找 MSK 集群版本的信息,请参阅[确定 MSK 集群版本](create-topic.md#find-msk-cluster-version)。请注意,使用与 MSK 集群版本不同的 Apache Kafka 客户端版本,可能会导致 Apache Kafka 数据损坏、丢失和停机。
```
aws kafka create-cluster --cluster-name "ExampleClusterName" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --kafka-version "{YOUR MSK VERSION}" --number-of-broker-nodes 3
```
以下是运行此命令后的成功响应示例。
```
{
"ClusterArn": "arn:aws:kafka:us-east-1:123456789012:cluster/SecondTLSTest/abcdabcd-1234-abcd-1234-abcd123e8e8e",
"ClusterName": "ExampleClusterName",
"State": "CREATING"
}
```
# 测试 Amazon MSK TLS 加密
此过程介绍了如何在 Amazon MSK 上测试 TLS 加密。
**测试 TLS 加密**
1. 按照[步骤 3:创建客户端计算机](create-client-machine.md)中的指导创建客户端计算机。
1. 在客户端计算机上安装 Apache Kafka。
1. 在本示例中,我们使用 JVM 信任库与 MSK 集群通信。为此,请首先在客户端计算机上创建一个名为 `/tmp` 的文件夹。然后,转到 Apache Kafka 安装的 `bin` 文件夹,并运行以下命令。(您的 JVM 路径可能不相同。)
```
cp /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.201.b09-0.amzn2.x86_64/jre/lib/security/cacerts /tmp/kafka.client.truststore.jks
```
1. 仍在客户端计算机上的 Apache Kafka 安装的 `bin` 文件夹中,创建一个名为 `client.properties` 的文本文件,该文件包含以下内容。
```
security.protocol=SSL
ssl.truststore.location=/tmp/kafka.client.truststore.jks
```
1. 在 AWS CLI 安装了的计算机上运行以下命令,*clusterARN*替换为集群的 ARN。
```
aws kafka get-bootstrap-brokers --cluster-arn clusterARN
```
成功结果如下所示。保存此结果,因为您需要在下一步中使用它。
```
{
"BootstrapBrokerStringTls": "a-1.example.g7oein.c2.kafka.us-east-1.amazonaws.com:0123,a-3.example.g7oein.c2.kafka.us-east-1.amazonaws.com:0123,a-2.example.g7oein.c2.kafka.us-east-1.amazonaws.com:0123"
}
```
1. 运行以下命令,*BootstrapBrokerStringTls*替换为您在上一步中获得的代理端点之一。
```
/bin/kafka-console-producer.sh --broker-list BootstrapBrokerStringTls --producer.config client.properties --topic TLSTestTopic
```
1. 打开新的命令窗口并连接到同一台客户端计算机。然后,运行以下命令以创建控制台使用器。
```
/bin/kafka-console-consumer.sh --bootstrap-server BootstrapBrokerStringTls --consumer.config client.properties --topic TLSTestTopic
```
1. 在生成器窗口中,输入文本消息后点击回车键,并在使用器窗口中查找相同消息。Amazon MSK 对传输中的此消息进行了加密。
有关配置 Apache Kafka 客户端以使用加密数据的更多信息,请参阅[配置 Kafka 客户端](https://kafka.apache.org/documentation/#security_configclients)。
# 将 Amazon MSK APIs 与接口 VPC 终端节点配合使用
您可以使用由 AWS PrivateLink提供支持的接口 VPC 终端节点来防止您的 Amazon VPC 和 Amazon MSK 之间的流量 APIs 离开亚马逊网络。接口 VPC 终端节点不需要互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)是一种使用弹性网络接口实现 AWS 服务之间私有通信的 AWS 技术,在 Amazon VPC IPs 中使用私有网络。有关更多信息,请参阅[亚马逊 Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 和[接口 VPC 终端节点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint)。
您的应用程序可以使用与 Amazon MSK Provisioned 和 MSK Connect 连接 APIs 。 AWS PrivateLink首先,为 Amazon MSK API 创建一个接口 VPC 端点,以便来自和前往 Amazon VPC 资源的流量开始流经接口 VPC 端点。启用 FIPS 的接口 VPC 端点适用于美国区域。有关更多信息,请参阅[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint)。
使用此功能,Apache Kafka 客户端可动态获取连接字符串以连接预置 MSK 或 MSK Connect 资源,而无需遍历互联网来检索连接字符串。
创建接口 VPC 端点时,请选择以下服务名称端点之一:
**对于预置 MSK:**
+ 新连接不再支持以下服务名称终端节点:
+ com.amazonaws.region.kafka
+ com.amazonaws.region.kafka-fips(启用 FIPS)
+ 支持两者的双栈端点服务 IPv4 以及 IPv6 流量:
+ wws.api.region.kafka-api
+ aws.api.region。 kafka-api-fips (支持 FIPS)
要设置双堆栈终端节点,必须遵循[双栈和 FIP](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html) S 端点指南。
其中区域指您的区域名称。选择此服务名称可与 MSK 预配置 APIs兼容。有关更多信息,请参阅 *https://docs.aws.amazon.com/msk/1.0/* apireference/ 中的[操作](https://docs.aws.amazon.com/msk/1.0/apireference/operations.html)。
**对于 MSK Connect:**
+ com.amazonaws.region.kafkaconnect
其中区域指您的区域名称。选择此服务名称即可与 MSK Connec APIs t 兼容。有关更多信息,请参阅《Amazon MSK Connect API 参考》**中的[操作](https://docs.aws.amazon.com/MSKC/latest/mskc/API_Operations.html)。
有关更多信息,包括创建接口 VPC 终端节点的 step-by-step说明,请参阅*AWS PrivateLink 指南*中的[创建接口终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint)。
## 控制对亚马逊 MSK 预配置或 MSK Connect 的 VPC 终端节点的访问权限 APIs
借助 VPC 端点策略,您可以控制访问,方式是:将策略附加到 VPC 端点或使用附加到 IAM 用户、组或角色的策略中的额外字段,从而限制只能通过特定 VPC 端点进行访问。使用相应的示例策略,定义对预置 MSK 或 MSK Connect 服务的访问权限。
如果您在创建端点时未附加策略,Amazon VPC 会为您附加一个默认策略,该策略允许对服务的完全访问。终端节点策略不会覆盖或替换 IAM 基于身份的策略或服务特定的策略。这是一个单独的策略,用于控制从端点中对指定服务进行的访问。
有关更多信息,请参阅《AWS PrivateLink 指南》**中的[使用 VPC 端点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
------
#### [ MSK Provisioned — VPC policy example ]
**只读访问权限**
此示例策略可以附加到某个 VPC 端点。(有关更多信息,请参阅控制对 Amazon VPC 资源的访问)。它限制仅能通过其附加的 VPC 端点列出或描述操作。
```
{
"Statement": [
{
"Sid": "MSKReadOnly",
"Principal": "*",
"Action": [
"kafka:List*",
"kafka:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**预置 MSK — VPC 端点策略示例**
限制对特定 MSK 集群的访问
此示例策略可以附加到某个 VPC 端点。它限制通过其附加的 VPC 端点访问特定的 Kafka 集群。
```
{
"Statement": [
{
"Sid": "AccessToSpecificCluster",
"Principal": "*",
"Action": "kafka:*",
"Effect": "Allow",
"Resource": "arn:aws:kafka:us-east-1:123456789012:cluster/MyCluster"
}
]
}
```
------
#### [ MSK Connect — VPC endpoint policy example ]
**列出连接器并创建新的连接器**
下面是用于 MSK Connect 的端点策略示例。此策略允许指定角色列出连接器,并创建新的连接器。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "MSKConnectPermissions",
"Effect": "Allow",
"Action": [
"kafkaconnect:ListConnectors",
"kafkaconnect:CreateConnector"
],
"Resource": "*",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/MyMSKConnectExecutionRole"
]
}
}
]
}
```
**MSK Connect — VPC 端点策略示例**
仅允许指定 VPC 中特定 IP 地址的请求
以下示例显示的策略仅允许来自指定 VPC 中指定 IP 地址的请求成功。来自其它 IP 地址的请求将失败。
```
{
"Statement": [
{
"Action": "kafkaconnect:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": "192.0.2.123"
},
"StringEquals": {
"aws:SourceVpc": "vpc-555555555555"
}
}
}
]
}
```
------