Créez un cluster Amazon MSK qui prend en charge l'authentification des clients

Cette procédure explique comment activer l'authentification du client à l'aide d'un Autorité de certification privée AWS.

1. Créez un fichier nommé clientauthinfo.json avec les contenus suivants. Private-CA-ARNRemplacez-le par l'ARN de votre PCA.

   {
      "Tls": {
          "CertificateAuthorityArnList": ["Private-CA-ARN"]
       }
   }

2. Créez un fichier nommé brokernodegroupinfo.json comme décrit à la section Créez un cluster Amazon MSK provisionné à l'aide du AWS CLI.

3. L'authentification du client nécessite également l'activation du chiffrement lors du transit entre les clients et les brokers. Créez un fichier nommé encryptioninfo.json avec les contenus suivants. KMS-Key-ARNRemplacez-le par l'ARN de votre clé KMS. Vous pouvez définir ClientBroker sur TLS ou TLS_PLAINTEXT.

   {
      "EncryptionAtRest": {
          "DataVolumeKMSKeyId": "KMS-Key-ARN"
       },
      "EncryptionInTransit": {
           "InCluster": true,
           "ClientBroker": "TLS"
       }
   }

   iPour de plus amples informations sur le chiffrement, veuillez consulter Chiffrement Amazon MSK.

4. Sur un ordinateur sur lequel vous l'avez AWS CLI installé, exécutez la commande suivante pour créer un cluster sur lequel l'authentification et le chiffrement en transit sont activés. Enregistrez l'ARN de cluster fourni dans la réponse.

   aws kafka create-cluster --cluster-name "AuthenticationTest" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --client-authentication file://clientauthinfo.json --kafka-version "{YOUR KAFKA VERSION}" --number-of-broker-nodes 3