Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Actualización de la configuración de seguridad de un clúster de Amazon MSK
Utilice la operación [UpdateSecurity](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html#UpdateSecurity)Amazon MSK para actualizar la configuración de autenticación y cifrado cliente-intermediario de su clúster de MSK. También puede actualizar la autoridad de seguridad privada que se utiliza para firmar los certificados de autenticación TLS mutua. No puede cambiar la configuración de cifrado dentro del clúster (). broker-to-broker
El clúster debe tener el estado `ACTIVE` para que pueda actualizar la configuración de seguridad.
Si activa la autenticación mediante IAM, SASL o TLS, también debe activar el cifrado entre clientes y agentes. La tabla siguiente muestra las combinaciones posibles.
****
| Autenticación | Opciones de cifrado entre el cliente y el agente | Cifrado entre agente y agente |
| --- | --- | --- |
| Unauthenticated | TLS, PLAINTEXT, TLS\$1PLAINTEXT | Puede estar activado o desactivado. |
| mTLS | TLS, TLS\$1PLAINTEXT | Debe estar activado. |
| SASL/SCRAM | TLS | Debe estar activado. |
| SASL/IAM | TLS | Debe estar activado. |
Cuando el cifrado entre cliente y agente está establecido en `TLS_PLAINTEXT` y la autenticación de cliente en `mTLS`, Amazon MSK crea dos tipos de oyentes a los que los clientes se conectan: uno para que los clientes se conecten mediante la autenticación mTLS con cifrado TLS y otro para que los clientes se conecten sin autenticación ni cifrado (texto no cifrado).
Para más información sobre la configuración de seguridad, consulte [Seguridad en Amazon MSK](security.md).
# Actualice la configuración de seguridad del clúster de Amazon MSK mediante Consola de administración de AWS
1. ¿Iniciar sesión en la Consola de administración de AWS consola Amazon MSK y abrirla desde [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).
1. Elija el clúster de MSK que quiere actualizar.
1. En la sección **Configuración de seguridad**, elija **Editar**.
1. Elija la configuración de autenticación y cifrado que quiere para el clúster y, luego, elija **Guardar cambios**.
# Actualización de la configuración de seguridad del clúster de Amazon MSK mediante AWS CLI
1. Cree un archivo JSON que contenga la configuración de cifrado que quiere que tenga el clúster. A continuación se muestra un ejemplo.
**nota**
Solo puede actualizar la configuración de cifrado entre el cliente y el agente. No puede actualizar la configuración de cifrado integrada en el clúster (broker-to-broker).
```
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
```
1. Cree un archivo JSON que contenga la configuración de autenticación que quiere que tenga el clúster. A continuación se muestra un ejemplo.
```
{"Sasl":{"Scram":{"Enabled":true}}}
```
1. Ejecute el siguiente AWS CLI comando:
```
aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File
```
El resultado de esta operación `update-security` se parece al siguiente JSON.
```
{
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
```
1. Para ver el estado de la `update-security` operación, ejecute el siguiente comando y *ClusterOperationArn* sustitúyalo por el ARN que obtuvo en el resultado del `update-security` comando.
```
aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn
```
El resultado de este comando `describe-cluster-operation` tendrá un aspecto similar al siguiente.
```
{
"ClusterOperationInfo": {
"ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"CreationTime": "2021-09-17T02:35:47.753000+00:00",
"OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
"OperationState": "PENDING",
"OperationType": "UPDATE_SECURITY",
"SourceClusterInfo": {},
"TargetClusterInfo": {}
}
}
```
Si `OperationState` tiene el valor `PENDING` o `UPDATE_IN_PROGRESS`, espere un poco y vuelva a ejecutar el comando `describe-cluster-operation`.
**nota**
Las operaciones AWS CLI y las de la API para actualizar la configuración de seguridad de un clúster son idempotentes. Esto significa que si invoca la operación de actualización de seguridad y especifica una configuración de autenticación o cifrado que sea la misma que tiene el clúster actualmente, esa configuración no cambiará.
# Actualización de la configuración de seguridad de un clúster mediante la API
Para actualizar la configuración de seguridad de un clúster de Amazon MSK mediante la API, consulte [UpdateSecurity](https://docs.aws.amazon.com//msk/1.0/apireference/clusters-clusterarn-security.html#UpdateSecurity).
**nota**
Las operaciones de API AWS CLI y las de actualización de la configuración de seguridad de un clúster de MSK son idempotentes. Esto significa que si invoca la operación de actualización de seguridad y especifica una configuración de autenticación o cifrado que sea la misma que tiene el clúster actualmente, esa configuración no cambiará.