本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更新集群的安全设置
使用此 Amazon MSK 操作更新MSK集群的身份验证和客户端代理加密设置。您也可以更新用于签署证书以进行相互TLS身份验证的私有安全机构。您无法更改集群内 (broker-to-broker) 加密设置。
集群必须处于 ACTIVE
状态才能更新安全设置。
如果使用IAM、或TLS开启身份验证SASL,则还必须开启客户端和代理之间的加密。下表显示了可能的组合。
身份验证 | 客户端到代理加密选项 | 代理到代理加密 |
---|---|---|
无身份验证 | TLS, PLAINTEXT, TLS_PLAINTEXT | 可以开启或关闭。 |
m TLS | TLS, TLS_PLAINTEXT | 必须打开。 |
SASL/SCRAM | TLS | 必须打开。 |
SASL/IAM | TLS | 必须打开。 |
当客户端代理加密设置为,客户端身份验证设置为TLS_PLAINTEXT
时,mTLS
Amazon MSK 会创建两种类型的监听器供客户连接:一种是供客户端使用 m TLS 身份验证和加密进行连接的侦听器,另一种是供客户端在不进行身份验证或TLS加密的情况下进行连接(纯文本)。
有关安全设置的更多信息,请参阅 Amazon Managed Streaming for Apache Kafka 中的安全性。
使用更新集群的安全设置 AWS Management Console
打开亚马逊MSK控制台,网址为https://console.aws.amazon.com/msk/
。 -
选择要更新的MSK集群。
-
在设置部分中选择编辑。
-
选择集群所需的身份验证和加密设置,然后选择保存更改。
使用更新集群的安全设置 AWS CLI
-
创建一个包含您希望集群拥有的加密设置的JSON文件。示例如下:
注意
您只能更新客户端到代理加密设置。您无法更新集群内 (broker-to-broker) 加密设置。
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
创建一个包含您希望集群拥有的身份验证设置的JSON文件。示例如下:
{"Sasl":{"Scram":{"Enabled":true}}}
运行以下 AWS CLI 命令:
aws kafka update-security --cluster-arn
ClusterArn
--current-versionCurrent-Cluster-Version
--client-authentication file://Path-to-Authentication-Settings-JSON-File
--encryption-info file://Path-to-Encryption-Settings-JSON-File
此
update-security
操作的输出如下所示JSON。{ "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" }
-
要查看
update-security
操作状态,请运行以下命令,替换ClusterOperationArn
使用ARN您在update-security
命令输出中获得的。aws kafka describe-cluster-operation --cluster-operation-arn
ClusterOperationArn
此
describe-cluster-operation
命令的输出类似于以下JSON示例。{ "ClusterOperationInfo": { "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2021-09-17T02:35:47.753000+00:00", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "PENDING", "OperationType": "UPDATE_SECURITY", "SourceClusterInfo": {}, "TargetClusterInfo": {} } }
如果
OperationState
的值为PENDING
或UPDATE_IN_PROGRESS
,请等待一段时间,然后再次运行describe-cluster-operation
命令。
使用更新集群的安全设置 API
要使用更新集群的安全设置API,请参阅UpdateSecurity。
注意
用于更新集群安全设置的 AWS CLI 和API操作是等效的。这意味着,如果您调用安全更新操作并指定与集群当前设置相同的身份验证或加密设置,则该设置不会更改。