Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de un clúster de Amazon MSK compatible con la autenticación de clientes
Este procedimiento le muestra cómo habilitar la autenticación de clientes mediante un Autoridad de certificación privada de AWS.
nota
Recomendamos encarecidamente utilizar un TLS independiente Autoridad de certificación privada de AWS para cada clúster de MSK cuando utilice un TLS mutuo para controlar el acceso. De este modo, se asegurará de que los certificados TLS firmados PCAs únicamente se autentiquen con un único clúster de MSK.
-
Cree un archivo denominado
clientauthinfo.jsoncon el siguiente contenido.Private-CA-ARNSustitúyalo por el ARN de su PCA.{ "Tls": { "CertificateAuthorityArnList": ["Private-CA-ARN"] } } -
Cree un archivo llamado
brokernodegroupinfo.jsontal y como se describe en Cree un clúster de Amazon MSK aprovisionado mediante AWS CLI. -
La autenticación del cliente precisa que también habilite el cifrado en tránsito entre clientes y agentes. Cree un archivo denominado
encryptioninfo.jsoncon el siguiente contenido.KMS-Key-ARNSustitúyala por el ARN de la clave KMS. Puede establecerClientBrokerenTLSoTLS_PLAINTEXT.{ "EncryptionAtRest": { "DataVolumeKMSKeyId": "KMS-Key-ARN" }, "EncryptionInTransit": { "InCluster": true, "ClientBroker": "TLS" } }Para obtener más información sobre el cifrado, consulte Cifrado de Amazon MSK.
-
En una máquina en la que la tengas AWS CLI instalada, ejecuta el siguiente comando para crear un clúster con la autenticación y el cifrado en tránsito habilitados. Guarde el ARN del clúster proporcionado en la respuesta.
aws kafka create-cluster --cluster-name "AuthenticationTest" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --client-authentication file://clientauthinfo.json --kafka-version "{YOUR KAFKA VERSION}" --number-of-broker-nodes 3
