Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat kluster MSK Amazon yang mendukung otentikasi klien
Prosedur ini menunjukkan kepada Anda cara mengaktifkan otentikasi klien menggunakan file. AWS Private CA
catatan
Kami sangat merekomendasikan penggunaan independen AWS Private CA untuk setiap cluster MSK ketika Anda menggunakan TLS timbal balik untuk mengontrol akses. Melakukannya akan memastikan bahwa sertifikat TLS yang ditandatangani PCAs hanya dengan mengautentikasi dengan satu kluster MSK.
-
Buat file bernama
clientauthinfo.jsondengan isi berikut ini. GantiPrivate-CA-ARNdengan ARN PCA Anda.{ "Tls": { "CertificateAuthorityArnList": ["Private-CA-ARN"] } } -
Buat file bernama
brokernodegroupinfo.jsonseperti yang dijelaskan dalamBuat klaster MSK Amazon yang disediakan menggunakan AWS CLI. -
Otentikasi klien mengharuskan Anda juga mengaktifkan enkripsi dalam perjalanan antara klien dan broker. Buat file bernama
encryptioninfo.jsondengan isi berikut ini. GantiKMS-Key-ARNdengan ARN kunci KMS Anda. Anda dapat mengaturClientBrokerkeTLSatauTLS_PLAINTEXT.{ "EncryptionAtRest": { "DataVolumeKMSKeyId": "KMS-Key-ARN" }, "EncryptionInTransit": { "InCluster": true, "ClientBroker": "TLS" } }Untuk informasi selengkapnya tentang enkripsi, lihatEnkripsi Amazon MSK.
-
Pada mesin tempat Anda AWS CLI menginstal, jalankan perintah berikut untuk membuat cluster dengan otentikasi dan enkripsi dalam transit diaktifkan. Simpan ARN cluster yang disediakan dalam tanggapan.
aws kafka create-cluster --cluster-name "AuthenticationTest" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file://encryptioninfo.json --client-authentication file://clientauthinfo.json --kafka-version "{YOUR KAFKA VERSION}" --number-of-broker-nodes 3
