Configurar la SASL/SCRAM autenticación para un clúster de Amazon MSK - Transmisión administrada de Amazon para Apache Kafka

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar la SASL/SCRAM autenticación para un clúster de Amazon MSK

Para configurar un secreto en AWS Secrets Manager, sigue el tutorial Cómo crear y recuperar un secreto en la Guía del usuario de AWS Secrets Manager.

Tenga en cuenta los siguientes requisitos al crear un secreto para un clúster de Amazon MSK:

  • En el tipo de secreto, elija Otro tipo de secretos (por ejemplo, clave de API).

  • El nombre secreto debe comenzar con el prefijo AmazonMSK_.

  • Debes usar una AWS KMS clave personalizada existente o crear una nueva AWS KMS clave personalizada para tu secreto. Secrets Manager usa la AWS KMS clave predeterminada para un secreto de forma predeterminada.

    importante

    Un secreto creado con la AWS KMS clave predeterminada no se puede usar con un clúster de Amazon MSK.

  • Los datos de sus credenciales de inicio de sesión deben tener el siguiente formato para poder ingresar pares clave-valor mediante la opción Texto no cifrado.

    {
  "username": "alice",
  "password": "alice-secret"
}

  • Registre el valor del ARN (nombre del recurso de Amazon) de su secreto.

  • importante

    No puede asociar un secreto de Secrets Manager a un clúster que supere los límites descritos en Dimensione correctamente el clúster: número de particiones por agente Standard.

  • Si utiliza el AWS CLI para crear el secreto, especifique un ID de clave o un ARN para el kms-key-id parámetro. No especifique un alias.

  • Para asociar el secreto a su clúster, utilice la consola de Amazon MSK o la BatchAssociateScramSecretoperación.

    importante

    Al asociar un secreto a un clúster, Amazon MSK asocia una política de recursos al secreto que permite al clúster acceder a los valores de los secretos que ha definido y leerlos. No debe modificar esta política de recursos. Si lo hace, puede impedir que el clúster acceda a su secreto. Si realiza cambios en la política del recurso de Secretos o en la clave de KMS utilizada para el cifrado del secreto, asegúrese de volver a asociar los secretos al clúster de MSK. Esto garantiza que el clúster mantenga el acceso al secreto.

    El siguiente ejemplo de entrada JSON para la operación BatchAssociateScramSecret asocia un secreto a un clúster:

    {
  "clusterArn" : "arn:aws:kafka:us-west-2:0123456789019:cluster/SalesCluster/abcd1234-abcd-cafe-abab-9876543210ab-4",          
  "secretArnList": [
    "arn:aws:secretsmanager:us-west-2:0123456789019:secret:AmazonMSK_MyClusterSecret"
  ]
}