本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
此过程向您展示如何使用启用客户端身份验证 AWS 私有 CA。
注意
在使用双向 TLS 控制访问时,我们强烈建议 AWS 私有 CA 对每个 MSK 集群使用独立模式。这样做可以确保由签名的 TLS 证书 PCAs 仅在单个 MSK 集群中进行身份验证。
-
使用以下内容创建名为
clientauthinfo.json的文件。Private-CA-ARN替换为您的 PCA 的 ARN。{ "Tls": { "CertificateAuthorityArnList": ["Private-CA-ARN"] } } -
创建一个名为
brokernodegroupinfo.json的文件,如使用创建预配置的 Amazon MSK 集群 AWS CLI中所述。 -
客户端身份验证还要求您启用客户端和代理之间的传输中加密。使用以下内容创建名为
encryptioninfo.json的文件。KMS-Key-ARN替换为您的 KMS 密钥的 ARN。可以将ClientBroker设置为TLS或TLS_PLAINTEXT。{ "EncryptionAtRest": { "DataVolumeKMSKeyId": "KMS-Key-ARN" }, "EncryptionInTransit": { "InCluster": true, "ClientBroker": "TLS" } }有关加密的更多信息,请参阅Amazon MSK 加密。
-
在 AWS CLI 安装了身份验证和传输中加密的计算机上,运行以下命令以创建启用身份验证和传输中加密的集群。保存响应中提供的集群 ARN。
aws kafka create-cluster --cluster-name "AuthenticationTest" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --client-authentication file://clientauthinfo.json --kafka-version "{YOUR KAFKA VERSION}" --number-of-broker-nodes 3
