Configuración de la autenticación SASL/SCRAM para un clúster de Amazon MSK - Transmisión administrada de Amazon para Apache Kafka

Configuración de la autenticación SASL/SCRAM para un clúster de Amazon MSK

Para configurar un secreto en AWS Secrets Manager, siga el tutorial Cómo crear y recuperar un secreto en la Guía del usuario de AWS Secrets Manager.

Tenga en cuenta los siguientes requisitos al crear un secreto para un clúster de Amazon MSK:

  • En el tipo de secreto, elija Otro tipo de secretos (por ejemplo, clave de API).

  • El nombre secreto debe comenzar con el prefijo AmazonMSK_.

  • Debe usar una clave de AWS KMS personalizada existente o crear una nueva clave de AWS KMS personalizada para su secreto. Secrets Manager usa la clave de AWS KMS predeterminada para un secreto por defecto.

    importante

    Un secreto creado con la clave de AWS KMS predeterminada no se puede usar con un clúster de Amazon MSK.

  • Los datos de sus credenciales de inicio de sesión deben tener el siguiente formato para poder ingresar pares clave-valor mediante la opción Texto no cifrado.

    {
  "username": "alice",
  "password": "alice-secret"
}

  • Registre el valor del ARN (nombre del recurso de Amazon) de su secreto.

  • importante

    No puede asociar un secreto de Secrets Manager a un clúster que supere los límites descritos en Dimensione correctamente el clúster: número de particiones por agente Standard.

  • Si utiliza la AWS CLI para crear el secreto, especifique un ID de clave o un ARN para el parámetro kms-key-id. No especifique un alias.

  • Para asociar el secreto al clúster, utilice la consola de Amazon MSK o la operación BatchAssociateScramSecret.

    importante

    Al asociar un secreto a un clúster, Amazon MSK asocia una política de recursos al secreto que permite al clúster acceder a los valores de los secretos que ha definido y leerlos. No debe modificar esta política de recursos. Si lo hace, puede impedir que el clúster acceda a su secreto. Si realiza cambios en la política del recurso de Secretos o en la clave de KMS utilizada para el cifrado del secreto, asegúrese de volver a asociar los secretos al clúster de MSK. Esto garantiza que el clúster mantenga el acceso al secreto.

    El siguiente ejemplo de entrada JSON para la operación BatchAssociateScramSecret asocia un secreto a un clúster:

    {
  "clusterArn" : "arn:aws:kafka:us-west-2:0123456789019:cluster/SalesCluster/abcd1234-abcd-cafe-abab-9876543210ab-4",          
  "secretArnList": [
    "arn:aws:secretsmanager:us-west-2:0123456789019:secret:AmazonMSK_MyClusterSecret"
  ]
}