Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Mettre à jour les paramètres de sécurité d'un cluster Amazon MSK
Utilisez l'opération [UpdateSecurity](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html#UpdateSecurity)Amazon MSK pour mettre à jour les paramètres d'authentification et de chiffrement client-broker de votre cluster MSK. Vous pouvez également mettre à jour l'autorité de sécurité privée utilisée pour signer les certificats pour l'authentification TLS mutuelle. Vous ne pouvez pas modifier le paramètre de chiffrement intégré au cluster (broker-to-broker).
Le cluster doit être dans l'état `ACTIVE` pour que vous puissiez mettre à jour ses paramètres de sécurité.
Si vous activez l'authentification via IAM, SASL ou TLS, vous devez également activer le chiffrement entre les clients et les agents. Le tableau suivant présente les combinaisons possibles.
****
| Authentification | Options de chiffrement client-agent | Chiffrement agent-agent |
| --- | --- | --- |
| Unauthenticated | TLS, PLAINTEXT, TLS\$1PLAINTEXT | Peut être activé ou désactivé. |
| mTLS | TLS, TLS\$1PLAINTEXT | Doit être activé. |
| SASL/SCRAM | TLS | Doit être activé. |
| SASL/IAM | TLS | Doit être activé. |
Lorsque le chiffrement client-agent est défini sur `TLS_PLAINTEXT` et que l'authentification client est définie sur `mTLS`, Amazon MSK crée deux types d'écouteurs auxquels les clients peuvent se connecter : un écouteur permettant aux clients de se connecter à l'aide de l'authentification mTLS avec chiffrement TLS, et un autre permettant aux clients de se connecter sans authentification ni chiffrement (texte en clair).
Pour plus d'informations sur les paramètres de sécurité, consultez la section [Sécurité dans Amazon MSK](security.md).
# Mettez à jour les paramètres de sécurité du cluster Amazon MSK à l'aide du AWS Management Console
1. Connectez-vous à la AWS Management Console console Amazon MSK et ouvrez-la [https://console.aws.amazon.com/msk/chez vous ? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).
1. Choisissez le cluster MSK que vous voulez mettre à jour.
1. Dans la section **Paramètres**, choisissez **Modifier**.
1. Choisissez les paramètres d'authentification et de chiffrement que vous souhaitez pour le cluster, puis sélectionnez **Enregistrer les modifications**.
# Mise à jour des paramètres de sécurité du cluster Amazon MSK à l'aide du AWS CLI
1. Créez un fichier JSON qui contient les paramètres de chiffrement que vous souhaitez attribuer au cluster. Voici un exemple.
**Note**
Vous pouvez uniquement mettre à jour le paramètre de chiffrement client-agent. Vous ne pouvez pas mettre à jour le paramètre de chiffrement intégré au cluster (broker-to-broker).
```
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
```
1. Créez un fichier JSON qui contient les paramètres d'authentification que vous souhaitez attribuer au cluster. Voici un exemple.
```
{"Sasl":{"Scram":{"Enabled":true}}}
```
1. Exécutez la AWS CLI commande suivante :
```
aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File
```
La sortie de cette opération `update-security` ressemble au JSON suivant.
```
{
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
```
1. Pour connaître l'état de l'`update-security`opération, exécutez la commande suivante, en la *ClusterOperationArn* remplaçant par l'ARN que vous avez obtenu dans le résultat de la `update-security` commande.
```
aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn
```
La sortie de cette commande `describe-cluster-operation` ressemble à l'exemple JSON suivant.
```
{
"ClusterOperationInfo": {
"ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"CreationTime": "2021-09-17T02:35:47.753000+00:00",
"OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
"OperationState": "PENDING",
"OperationType": "UPDATE_SECURITY",
"SourceClusterInfo": {},
"TargetClusterInfo": {}
}
}
```
Si `OperationState` a la valeur `PENDING` ou `UPDATE_IN_PROGRESS`, attendez un moment, puis exécutez à nouveau la commande `describe-cluster-operation`.
**Note**
Les opérations d'API AWS CLI et destinées à mettre à jour les paramètres de sécurité d'un cluster sont idempotentes. Cela signifie que si vous invoquez l'opération de mise à jour de sécurité et que vous spécifiez un paramètre d'authentification ou de chiffrement identique à celui du cluster, ce paramètre ne changera pas.
# Mise à jour des paramètres de sécurité d'un cluster à l'aide de l'API
Pour mettre à jour les paramètres de sécurité d'un cluster Amazon MSK à l'aide de l'API, consultez [UpdateSecurity](https://docs.aws.amazon.com//msk/1.0/apireference/clusters-clusterarn-security.html#UpdateSecurity).
**Note**
Les opérations AWS CLI et API pour mettre à jour les paramètres de sécurité d'un cluster MSK sont idempotentes. Cela signifie que si vous invoquez l'opération de mise à jour de sécurité et que vous spécifiez un paramètre d'authentification ou de chiffrement identique à celui du cluster, ce paramètre ne changera pas.