SASL/SCRAM Authentifizierung für einen Amazon MSK-Cluster einrichten - Amazon Managed Streaming für Apache Kafka

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SASL/SCRAM Authentifizierung für einen Amazon MSK-Cluster einrichten

Um ein Geheimnis in AWS Secrets Manager einzurichten, folgen Sie dem Tutorial Creating and Retrieving a Secret im AWS Secrets Manager Manager-Benutzerhandbuch.

Beachten Sie die folgenden Anforderungen, wenn Sie ein Secret für einen Amazon-MSK-Cluster erstellen:

  • Wählen Sie für Secret-Typ die Option Anderer Secret-Typ (z. B. API-Schlüssel).

  • Ihr Secret-Nname muss mit dem Präfix AmazonMSK_ beginnen.

  • Sie müssen entweder einen vorhandenen benutzerdefinierten AWS KMS Schlüssel verwenden oder einen neuen benutzerdefinierten AWS KMS Schlüssel für Ihr Geheimnis erstellen. Secrets Manager verwendet standardmäßig den AWS KMS Standardschlüssel für ein Geheimnis.

    Wichtig

    Ein mit dem AWS KMS Standardschlüssel erstelltes Geheimnis kann nicht mit einem Amazon MSK-Cluster verwendet werden.

  • Ihre Anmeldeinformationen müssen das folgende Format haben, um Schlüssel-Wert-Paare mit der Klartext-Option eingeben zu können.

    {
  "username": "alice",
  "password": "alice-secret"
}

  • Notieren Sie sich den ARN (Amazon-Ressourcenname) für Ihr Secret.

  • Wichtig

    Sie können einem Cluster, der die unter Die Größe Ihres Clusters anpassen: Anzahl der Partitionen pro Standard-Broker beschriebenen Grenzwerte überschreitet, kein Secrets-Manager-Secret zuordnen.

  • Wenn Sie den AWS CLI zum Erstellen des Geheimnisses verwenden, geben Sie eine Schlüssel-ID oder einen ARN für den kms-key-id Parameter an. Geben Sie keinen Alias an.

  • Um das Geheimnis Ihrem Cluster zuzuordnen, verwenden Sie entweder die Amazon MSK-Konsole oder den BatchAssociateScramSecretVorgang.

    Wichtig

    Wenn Sie einem Cluster ein Secret zuordnen, fügt Amazon MSK dem Secret eine Ressourcenrichtlinie hinzu, die es Ihrem Cluster ermöglicht, auf die von Ihnen definierten geheimen Werte zuzugreifen und diese zu lesen. Sie sollten diese Ressourcenrichtlinie nicht ändern. Andernfalls kann Ihr Cluster daran gehindert werden, auf Ihr Secret zuzugreifen. Wenn Sie Änderungen an der Secrets-Ressourcenrichtlinie und/oder dem für die geheime Verschlüsselung verwendeten KMS-Schlüssel vornehmen, stellen Sie sicher, dass Sie die Secrets erneut Ihrem MSK-Cluster zuordnen. Dadurch wird sichergestellt, dass Ihr Cluster weiterhin auf Ihr Geheimnis zugreifen kann.

    Die folgende Beispiel-JSON-Eingabe für den Vorgang BatchAssociateScramSecret ordnet ein Secret einem Cluster zu:

    {
  "clusterArn" : "arn:aws:kafka:us-west-2:0123456789019:cluster/SalesCluster/abcd1234-abcd-cafe-abab-9876543210ab-4",          
  "secretArnList": [
    "arn:aws:secretsmanager:us-west-2:0123456789019:secret:AmazonMSK_MyClusterSecret"
  ]
}